生体認証システム
【課題】個人認証のセキュリティを高めると同時に、プライバシーの保護にも配慮した生体認証システムの提供。
【解決手段】認証結果を利用するマンション入口や銀行窓口などに照合用生体情報の登録を管理する管理部を設けるとともに、マンション内の各居室や携帯電話などに、管理部の管理下で登録された照合用生体情報を保持させ、認証結果利用側では照合用生体情報を持たない。生体情報取得部を交換可能とするとともに正常動作確認手段を設け、長期間の使用に耐える現実的なシステムを成り立たせる。
【解決手段】認証結果を利用するマンション入口や銀行窓口などに照合用生体情報の登録を管理する管理部を設けるとともに、マンション内の各居室や携帯電話などに、管理部の管理下で登録された照合用生体情報を保持させ、認証結果利用側では照合用生体情報を持たない。生体情報取得部を交換可能とするとともに正常動作確認手段を設け、長期間の使用に耐える現実的なシステムを成り立たせる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人認証システムに関し、特に生体情報に基づいて個人認証を行う生体認システムに関するものである。
【背景技術】
【0002】
この分野においては、個人認証の際のなりすましの防止、および認証の簡便性のために種々の生体認証システムが提案されている。また、認証のために取得される生体情報を健康管理に利用することも提案されている。
【0003】
しかし、一方で生体情報は重要な個人情報なのでこれを用いて個人認証を行う場合、プライバシー侵害の問題が生じる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−344375号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明が解決しようとする課題は、個人認証のセキュリティを高めると同時に、プライバシーの保護にも配慮した生体認証システムを提供することにある。
【課題を解決するための手段】
【0006】
上記の課題を解決するため、本発明は、生体認証結果を利用する利用部のある第一部分には、認証に必要な照合用生体情報の登録を管理する管理部を設けるとともに、第一部分とは別の第二部分には、第一部分の管理部の管理下で登録された照合用生体情報を保持する保持部を設けることを特徴とする生体認証システムを提供する。これによって第二部分において照合用生体情報が不正に登録されることを防止するとともに、個人情報である照合用生体情報が第二部分経由で流出することを防止する。
本発明の具体的な特徴によれば、第一部分に情報取得部を設けて照合用生体情報を取得するとともに、これを第二部分に伝達して保持部に保持させ、第一部分自身からは取得した照合用生体情報を消去する。
本発明のさらに具体的な特徴によれば、生体認証が求めら得た際に、第二部分の保持部に保持された照合用生体情報に関連する情報が前記第一部分に伝達する。
例えば、認証用の生体情報と照合用生体情報とを照合する照合部を第二部分に設け、その照合結果を、照合用生体情報に関連する情報として第一部分に伝達して利用させる。
また、別のやり方として、認証が求められた際に、照合用生体情報そのものを第一部分に伝達し、第一部分で取得した認証用の生体情報と第二部分から伝達された照合用生体情報とを照合する照合部を第一部分に設ける。
本発明の他の特徴によれば、生体認証結果を利用する利用部とは別に交換可能なように生体情報取得部を設けるとともに、この情報取得部が正常に動作するかどうか確認する確認部を設ける。これによって長期間にわたって生体情報が取得できる現実的なシステムを成り立たせる。
【発明の効果】
【0007】
上記のように、本発明によれば、個人認証のセキュリティを高めると同時に、プライバシーの保護にも配慮した生体認証システムを提供することができる。
【図面の簡単な説明】
【0008】
【図1】生体認証兼健康管理システムのブロック図を示した図面代用写真である。(実施例1)
【図2】血管センサシステムのブロック図を示した図面代用写真である。(実施例1)
【図3】開錠認証センサの詳細構成のブロックを示した図面代用写真である。(実施例1)
【図4】居室内パソコンの基本フローチャートを示した図面代用写真である。(実施例1)
【図5】図4のステップS12の詳細フローチャートを示した図面代用写真である。(実施例1)
【図6】居室ドアにて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例1)
【図7】マンション入口にて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例1)
【図8】図6のステップS47または図7のステップS68の詳細フローチャートを示した図面代用写真である。(実施例1)
【図9】マンション側管理パソコンの基本フローチャートを示した図面代用写真である。(実施例1)
【図10】マンション入口にて認証トリガーがかかった場合のマンション側管理パソコンフローチャートを示した図面代用写真である。(実施例1)
【図11】医療機関側コンピュータの基本フローチャートを示した図面代用写真である。(実施例1)
【図12】医療機関側コンピュータの送信処理フローチャートを示した図面代用写真である。(実施例1)
【図13】図11のステップS134の詳細フローチャートを示した図面代用写真である。(実施例1)
【図14】生体認証兼健康管理システムのブロック図を示した図面代用写真である。(実施例2)
【図15】図4のステップS11の詳細フローチャートを示した図面代用写真である。(実施例1)
【図16】図9のステップS110の詳細フローチャートを示した図面代用写真である。(実施例1)
【図17】マンション入口にて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例3)
【図18】マンション入口にて認証トリガーがかかった場合のマンション側管理パソコンフローチャートを示した図面代用写真である。(実施例3)
【図19】図4のステップS12の詳細フローチャートを示した図面代用写真である。(実施例1)
【図20】図8のステップS84の詳細フローチャートを示した図面代用写真である。(実施例1)
【図21】玄関ドアの詳細模式図を示した図面代用写真である。(実施例1〜4)
【図22】個人認証データおよび健康管理データのデータ構造図を示した図面代用写真である。(実施例5)
【発明を実施するための形態】
【実施例1】
【0009】
本発明は、多数の家族が入居するマンションや多数の組織が雑居するビルなど、複数の人間が出入りする共通の入口のロック制御システムを第一部分として実施するのに好適である。また、銀行の個人認証システムを第一部分として実施するのにも適している。
一方、第二部分は、共通の入口を出入りする特定の人間によって管理される各居室などとして実施するのが好適である。また、第二部分を個人が管理する携帯電話として実施するのにも適している。
【0010】
図1は、本発明の生体認証兼健康管理システムの実施例1のブロック図であり、複数の家族が入居しているマンションにおける実施を例示している。
マンション1には複数の家庭が入居しているが、図1では、A家族が入居しているA居室2、B家族が入居しているB居室3、およびC家族が入居しているC居室4のみ図示し、他の居室は省略している。A居室2内のシステムはAパソコン5が制御しているが、居室内の構成については後述する。なお、B居室3およびC居室4はそれぞれA居室2と同様の構成をもつが、それぞれの居室内のシステムを制御しているBパソコン6およびCパソコン7を除いて図示を省略し、その説明も重複を避けるために省略する。
また、実施例1のシステムにおいて、各居室2、3、4はマンション入口ロック制御システム8および医療機関9とも連携しており、その詳細については後述する。
なお、以後の説明において、居室内の制御手段はAパソコン5のようなパソコンとするが、本発明の実施に当たっては、汎用のパソコンに代えてシステム専用に居室に備えられたコンピュータを用いてもよく、その他同等の機能を有するものであれば、種々の制御手段を用いることが可能である。
【0011】
A居室2において、玄関ドア10にはドアロック11が設けられているが、玄関ドア10を閉じる度にオートロックされ、外部からの開錠の可否の制御はAパソコン5が行っている。Aパソコン5の制御部12は、玄関ドア10の開錠を望む人の生体認証を行う家庭用開錠認証センサ13からの情報を受け、これを認証照合データ保持部14にあらかじめ登録しておいた認証照合データと照合する。そして、照合の結果、A居室にへの入室資格がある人であることが認証されるとドアロック11に開錠信号を送る。
家庭用開錠認証センサ13は、所定位置に挿入された人の指の血管の情報を光学的に検出する血管センサを持っている。この血管センサから得られる血液の情報を受けた制御部12はそこから血管パターンを抽出し、これが認証照合データ保持部14に登録された家族内の誰かの血管パターンと同一であるかどうか判定する。そして、同一であれば入室資格のある家族の一員であると認証してドアロック11に開錠信号を送る。
【0012】
家庭用開錠認証センサ13によって検出された指の血管の情報には、血管パターンだけでなく、人の指における血液の脈動をしめす脈波の情報も含まれている。制御部12は、この脈波信号から例えば酸素飽和度などの血液の成分情報や血管の若さの情報を得る。この血液の成分情報や血管の若さなどの情報は個人の健康管理データとなるので、制御部12はこれらの情報を認証できた個人別に個人健康データベース15に送って蓄積させる。
【0013】
制御部12はさらに血液の成分情報や血管の若さなどの健康管理データを健康照合データ保持部16に登録されている個人別の健康照合データと照合する。健康照合データ保持部16には、健康指標となる値そのものだけでなく、その値の経時変化についての照合用経時変化データも登録されている。従って、制御部12は、家庭用開錠認証センサ13から送られてくるその時々の健康管理データを健康照合データと照合するとともに、個人健康データベース15に蓄積されたデータに基づく健康指標の経時変化を健康照合データ保持部16に登録された照合用経時変化データと比較し、健康指標となる値の経時変化の速さなどの観点からも照合を行う。健康指標の値の照合結果および健康指標の経時変化の照合結果は、テレビ17に表示される。この表示については、例えば照合の結果、異常と認められるときにはテレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるようにする。
なお、健康照合結果の表示については、家族といえどもプライバシーがあるので、各家族構成員が持っている携帯電話に個別にその情報を送るよう構成してもよい。この場合、自分の携帯電話の表示部を見ることによって、例えば入室の度毎に健康状態を自分だけで確認できる。携帯電話を利用した実施については、後出の実施例2でも詳述する。
【0014】
以上のように、本発明の家庭用開錠認証センサ13は、ドアロック開錠のための生体個人認証と健康管理データ取得の二重の機能を持っている。従って、通常は、この両者に成功したとき、Aパソコン5はドアロック11に開錠信号を送る。
ただ、本来はドアロック開錠のための個人認証ができれば入室管理という当座の目的は達成できるので、個人認証には成功したが健康管理データ取得の観点からは充分な情報が取得できなかった場合であっても、Aパソコン5はドアロック11に開錠信号を送る。しかし利用者はドアロック開錠の際に同時に健康管理データの取得もできていることを期待しているので、この場合は玄関ドア10において健康管理データ取得失敗の旨とその原因について警告表示を行う。この警告を見た利用者は、健康管理データの取得を重視する場合には、再度家庭用開錠承認センサ13に指を挿入してチェックを行うことができるし、急いでいるときは、失敗の原因だけを理解してとりあえずA居室5に入室し、次回の入室時からは失敗の原因を除去するよう指の挿入の仕方を改めるよう心がける。
【0015】
家庭用開錠認証センサ13には、血管情報を光学的に検出する血管センサの代わりに、人の眼を撮影することによって眼底情報を得るセンサを採用してもよい。眼底情報も、網膜パターンが生体認証データとなるとともに眼底画像が健康情報を持っているので、上記において指の血管情報について説明したのと同様、ドア開錠のための生体認証とその人の健康管理を同時に行うことができる。また、声紋センサも生体認証データと健康管理情報の取得が可能なので家庭用開錠認証センサ13に採用できる。さらに声紋センサの場合、合わせて吐息成分のセンサを設ければ、アルコール濃度のチェックもでき、飲酒と健康状態との因果関係のチェックも行うことができる。
家庭用開錠認証センサ13としては、以上例示したものに限らず、生体認証とその人の健康管理のデータを同時に得ることができる種々のセンサが採用可能である。例えば、非接触のタイプには限らず皮膚に接触するタイプのものが可能であり、光や音を利用するものに限らず微弱な電流を生体に流してその反応信号を検出するものも可能である。また、いずれかのセンサを単独で採用するのだけではなく、複数のセンサを組み合わせて生体認証の精度を上げるとともに健康管理データをより豊富に得ることもできる。
【0016】
さらに、それぞれ生体認証とその人の健康管理のデータを同時に得ることができるセンサ同士を組み合わせる場合だけでなく、このような両機能を持つセンサと単に生体認証または健康管理のいずれか一方のデータのみが得られるセンサとの組み合わせも可能である。例えば、健康管理のみのセンサとして、画像処理により体温を検知するセンサと両機能をもつ他のセンサとを組み合わせてもよい。また、生体認証のみのセンサとなる指紋センサと両機能をもつ他のセンサとを組み合わせてもよい。
なお、家庭用開錠認証センサ13全体として生体認証および健康管理の機能を持てばいいので、生体認証の機能のみを持つセンサと健康管理データ取得の機能のみを持つセンサとを組み合わせて家庭用開錠認証センサ13とすることも可能である。さらには、認証動作の際に自然に健康管理データの取得も行われるよう構成する場合には、認証機能に関しては生体認証に限らず、暗証番号やICカードなど、在来の認証手段を採用してもよい。
【0017】
Aパソコン5は、さらに、パソコン使用時にアクセス権があるかどうかを認証するためのユーザ認証センサ18を持っている。ユーザ認証センサ18も生体認証機能を持っており、すでに説明したのと同様の指血管情報取得機能の他、マウスを持つ掌の血管情報などパソコンの使用特有の事情に合致した生体認証機能を持っている。マウスに生体認証機能を持たせた場合には、パソコンの使用開示時点だけでなく、使用途中においても常に生体認証を繰り返すことができるとともに、継続して健康管理データを取得することができる。このようにしてパソコン使用におけるユーザ認証の際にも、生体認証データと健康管理データの取得とを同時に行うことができる。
ユーザ認証センサ18からの信号の取り扱い、認証照合データ保持部14に登録された認証照合データとの照合、健康照合データ保持部16に登録された健康照合データとの照合、および健康管理データの個人健康データベース15への蓄積については、家庭用開錠認証センサ13に関連して説明したのと同様なので、重複を避けるため説明を省略する。但し、ユーザ認証センサ18の場合、認証照合データ保持部14の認証照合データとの照合によりユーザとして認証されたときは、制御部12がAパソコンの使用を許可する点だけは異なる。
【0018】
Aパソコン5は、以上説明した玄関ドア10のドアロック11の開錠管理機能とAパソコン5のユーザ認証機能の他に、マンション1の入口ロック制御システム8に用いられる管理パソコン19との連携機能も有している。
マンション入口ロック制御システム8には入口ロック20が設けられているが、マンション入口を閉じる度にオートロックされ、外部からの開錠の制御は管理パソコン19が行う。管理Aパソコン19は、マンション入口の開錠を望む人に対して生体認証を行う業務用開錠認証センサ21からの情報を受け、これをマンション入口ロック制御システム8に参加しているすべての居室のパソコンに送る。図1ではA居室2のAパソコン5、B居室3のBパソコン6、C居室4のCパソコン7に業務用開錠認証センサ21からの情報が送られるが、図示していない居室がマンション入口ロック制御システム8に加入していれば、それらの居室のパソコンにも同様の情報が送られる。なお、業務用開錠認証センサ21は家庭用開錠認証センサ13と共通の機能も持つが、それより高度のセンシング機能も備えたハイスペックのものとなっている。
【0019】
以上の構成において、例えばA居室2のAパソコン5に送られた業務用開錠認証センサ21からの情報は、制御部12によって認証照合データ保持部14にあらかじめ登録しておいた認証照合データと照合される。そして、照合の結果、マンションへの入館資格がある人であることが認証されると管理パソコン19にその結果を通知し、管理パソコン19はこの通知に応じて入口ロック20に開錠信号を送る。一方、認証照合データと一致しなければ管理パソコン19に不一致の旨通知する。この場合、管理パソコン19は少なくともA居室2からの指示によっては入口ロック20に開錠信号を送らない。
同様のことが、B居室3、C居室4などマンション入口ロック制御システム8に参加しているすべての居室のパソコンと管理パソコン19との間で行われる。そして、管理パソコン19はいずれかの居室のパソコンからマンションへの入館資格がある人である旨の認証結果が通知された場合、入口ロック20に開錠信号を送る。一方、すべての居室から認証照合データと不一致の旨の通知があった場合は、管理パソコン19は入口ロック20に開錠信号を送らない。そして、入館拒否の表示がマンション入口において行われる。
【0020】
なお、いずれかの居室から管理パソコンへの通知がなかった場合でも、その他の居室すべてから認証照合データと不一致の旨の通知があれば、管理パソコン19は入口ロック20に開錠信号を送らない。この場合も、入館拒否の表示がマンション入口において行われる。もしこの表示を見た人自身がマンションへの入館資格を持った住人なら、自分の居室になんらかのシステム障害が起こっていると判断できるので、別途の暗証番号入力またはICカード挿入等の手段によって入口ロック20を開錠し、当座の入館を行うことができる。また、その後のシステム復旧の手を打つこともできる。
なお、入館拒否の表示においては、すべての居室から認証照合データ不一致の通知があったのか、それともシステム障害があったのかの情報は一切明らかにされない。また、管理パソコン19自体も認証照合結果の通知がどの居室のものか分からないように配慮されている。
【0021】
以上のように、マンション入口ロック制御システム8の管理パソコン19自体には各居室の住人の認証照合データの記録や照合機能はなく、単に照合結果が各居室から通知されるだけである。このような配慮により、血管パターンや眼底パターンなどプライバシーにかかわる生体認証用の認証照合データは各居室内に留められる。また、管理パソコン19自体に照合機能がなく、かつ照合結果がどの居室から来たものか分からないので、業務用開錠センサ21によって取得されるデータも誰のものかわからず、プライバシーが保護される。
【0022】
業務用開錠認証センサ21は、家庭用開錠認証センサ13と同様、認証用の情報だけでなく、健康管理情報も取得できる。従って、家庭用開錠センサ13について説明したのと同様の健康管理が業務用開錠認証センサ21によっても可能となる。業務用開錠認証センサ21からの信号の取り扱い、健康照合データ保持部16に登録された健康照合データとの照合、および健康管理データの個人健康データベース15への蓄積については、家庭用開錠認証センサ13の場合と同様なので、これ以上の説明は省略する。
【0023】
先に述べたように、業務用開錠認証センサ21は、家庭用開錠認証センサ13と共通の機能を備えるとともに、それより高度のセンシング機能を備えたハイスペックのものである。認証照合データ保持部14および健康照合データ保持部16に保持される照合データおよびこれらの情報を取り扱う個人健康データベース15は、このような業務用開錠認証センサ21の高度のセンシング機能にも対応するものとなっている。
【0024】
また、業務用開錠認証センサ21と家庭用開錠認証センサ13との間で共通の機能については、同一の健康指標についてダブルチェックが行われる。つまり、A居室に向かう住人に対しては、まずマンション入口にて業務用開錠認証センサ21によって健康指標を取得し、次いでA居室2の玄関ドア10において家庭用開錠認証センサ13によって同一の健康指標を取得することができる。これによって同一の健康指標の検知精度を向上させることができる。
さらにマンション入口での検出結果と玄関ドアでの検出結果との間で同一の健康指標における因果関係をチェックすることもできる。具体的にはマンション入口にて平静状態の健康管理データを取得した後、階段を上ってA居室2の玄関ドアに到達した場合、その運動負荷がかかっている状態で同一の健康管理データを取得することができるので、両者の比較により平静状態と運動負荷状態における因果関係のチェックが可能となる。運動負荷の違いは、検知される脈拍数などによって把握できる。
逆に、坂道を登ってマンションに帰宅した場合は、その運動負荷がかかっている状態でマンション入口にて康管理データが取得され、その後エレベータ内で平静状態に戻ってA居室2に到達したときは、玄関ドアにて運動負荷から回復後の同一の健康管理データの取得ができる。
このように、各個人の生活パターンやマンションと居室の居住条件などを利用し、マンション入口で取得される健康管理データと玄関ドアで取得される健康管理データとを組み合わせれば、各人に合わせた豊富な健康管理データの取得が可能となる。
【0025】
さらに、健康状態は、季節や、気温、湿度、風速などの気象条件にも依存する可能性があるので、家庭用開錠認証センサ13および業務用開錠認証センサ21には、健康管理データ取得時の日付時刻データを合わせて記録する機能を持たせるとともに、季節や気象条件のセンサを設ける。これらの機能との組み合わせによって、さらに豊富な健康管理データの取得が可能となる。特に、業務用開錠認証センサ21は屋外に面しているのでより豊富な情報の取得が可能である。また、気温、湿度などは、マンション入口と各居室の玄関ドア部分では条件が異なるので、これらの条件変化について同一の健康管理データの比較を行うこともできる。
【0026】
先に述べたように、A居室2とマンション入口ロック制御システム8との連携は、B居室3やC居室4とマンション入口ロック制御システム8との間でも同様に行われる。このため、各居室のシステムは少なくともマンション内において相互に連携可能な規格によって運営されている。従ってマンション入居の際には、システムチェックが行われるとともに、マンション入口ロック制御システムのバージョンアップの際には、各居室のシステムも連動してバージョンアップされる。
なお、引越しの際には、開錠認証はともかくとして、個人健康データベースや健康照合データについては転居先でも引き続き使用することが望まれる。従って、少なくとも健康管理システムについてはマンションなどの住居が変わっても引き続き使用できるような一般性のある規格によって運営される。
【0027】
次に、A居室2を例にとって医療機関との連携について説明する。Aパソコン5はインターネットによって医療機関9の大型コンピュータ22と情報交換している。セキュリティの維持のため、交換される情報は暗号化されているとともに、患者の認証についてもAパソコン5のユーザ認証センサ18を活用した生体認証システムによって万全が期されている。
【0028】
健康照合データ保持部16の健康照合データは、医療機関9の健康照合データ登録部23によって登録される。これは、医療機関9を訪れた患者が自動化装置を用い、健康照合ソフト24の指示に基づいて自身の健康管理データを検査して自動的に登録することが可能である。また、同じ数値であっても個人によって健康度の判断が異なるので、必要に応じ医師25が実際に診察を行った上で健康照合データの登録を行う。その際、自動登録された健康管理データなのか、医師の判断が入った上で登録された健康照合データなのかを区別する情報を入れておき、後に照合する際に反映する。
このようにして登録された患者の健康照合データは制御部26の制御によって患者自宅のAパソコン5に送信され、健康照合データ保持部16に保存される。また、健康照合データを取り扱うための健康照合ソフト中、Aパソコン5に必要な部分もあわせて送信され、制御部12にインストールされる。
【0029】
家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18から得られた生データ、およびそれらが蓄積された個人健康データベース15のデータはリアルタイムで医療機関9の大型コンピュータ22に送信され、総合健康データベース27に蓄積される。
また、健康照合データ保持部16との照合結果も補助的に医療機関9の大型コンピュータ22に送信される。健康照合データとの照合は医療機関の健康照合ソフト24でも可能であるが、すでにAパソコン5内で行われた照合の結果通知を受ける方が効率的であるからである。もちろん、Aパソコン5で取り扱うことのできない高度の健康管理データの照合は大型コンピュータ22の健康照合ソフト24で初めて取り扱われる。その結果も総合健康データベース27に蓄積される。
【0030】
また、総合健康データベース27に蓄積された各患者のデータは定期的に医師25の診断を得るために医師25の手元にある診断入出力部28に出力される。医師25の診断結果は診断入出力部28に入力され、総合健康データベース27に蓄積される。
【0031】
総合健康データベース27に蓄積された健康照合ソフト24の照合結果および医師25による診断結果は定期的にAパソコン5に送られ、患者は自宅のAパソコン5の表示部又はテレビ17により診断結果を見ることができる。
なお、健康照合ソフト24の照合結果または医師25による診断結果に基づき、緊急を要する異常が認められたときは、その都度、大型コンピュータ22からAパソコン5にその旨の通知が行われる。
【0032】
以上の医療機関9とA居室2との連携は、B居室3、C居室4でも共通である。このようなシステムを維持するため、各居室は、マンション入口ロック制御システムだけでなく、医療機関9とも相互に連携可能な規格によって運営されている。
【0033】
医療機関9の総合健康データベース27には多数の患者の健康管理データが蓄積されているので、その統計処理に基づき、特定の患者の健康管理データが平均値や分布に照らしてどの位置にいるかの参考情報を提供することができる。また、統計処理の観点から特定の患者の健康管理データが正常範囲にあるのか異常範囲にあるのかの診断をより客観的に行うことも可能となる。医療機関9はこのようなサービス情報の配信もAパソコン5に対して行う。なお、統計処理に当たっては、各患者のプライバシー情報保護について万全の処置がとられる。
【0034】
医療機関の健康照合ソフト24は、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18の健康管理データ取得機能と深く関連している。従って、これらのセンサが変更されたときや新しい機能のセンサが導入されたときは、その都度、医療機関9の健康照合ソフト24がこれらのセンサに対応できるよう機能のメンテンスを行う必要がある。このため、医療機関9の大型コンピュータ22と各居室のAパソコン、Bパソコン、Cパソコンなど、および医療機関9の大型コンピュータ22とマンション入口ロック制御システムの管理パソコン19とは常にソフトウエア更新の連携を保っている。
また、逆に、医療機関9側からの提案により、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18を、より高性能、高機能のものに変更する事も行われる。その場合は、医療機関9から各センサとそのセンサのドライバーソフトが有償で提供される。また、医療機関9とその旨のメンテナンス契約をしておけば、センサとそのドライバーソフトについて改良が行われる度に、それらの無償提供を受けることも可能である。
【0035】
各患者は、その意思または引越しなどの事情によって、医療機関を変えることがある。その場合、患者は総合健康データベース27に保存された自分の健康管理データベースを新しい医療機関でも引き続き使用することを望む。従って、従って、総合健康データベース27を取り扱うシステムについては医療機関9が変わっても引き続き使用できるような一般性のある規格によって運営される。
【0036】
図2は、生体認証および健康管理データ取得のために、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18で用いられる血管センサシステムを示すシステムブロック図である。図2では家庭用開錠認証センサ13にの場合に基づいて説明し、図1と共通のブロックには同一番号を付す。
【0037】
図2において、血管センサ31は、家庭用開錠認証センサ13に設けられているもので、生体認証を求める人の指が挿入される部分にあり、血液と血管に対する吸収特性が異なる複数波長の光源と受光部を持つ。血管センサ31の出力はAパソコン5に送られ、制御部12における画像処理部32で処理される。以下、制御部12における機能は実際にはソフトウエアによって実行されるが、図2では、このようなソフトウエアで実行される機能をブロックとして「画像処理部32」のように表記して説明する。
なお、当然ながら制御部12における機能の実行をハードウエアで行うことも可能であり、ハードウエアとソフトウエアの組合せにより実行することも可能である。
【0038】
血管パターン抽出部33は、画像処理部32で処理された画像に基づいて血管パターンを抽出する。抽出された血管パターンは、制御部12の照合/本人判定部34により認証照合データ保持部14に保持される登録パターン35と照合され、両者が同一かどうかで認証を求めた人が本人かどうか判定する。本人であると判定されたときは制御部12はドアロック11に開錠信号を送る。
照合/本人判定部34による個人特定情報は個人健康データベース15にも送られ、後述する健康管理データが誰のものであるかの管理に用いられる。
【0039】
一方、制御部12の脈波検出部36は、画像処理部32で処理された画像に基づき、動脈血の脈波を検出する。検出された脈波は、制御部12の波形分析部37により分析され、第1健康判定部38により認証照合データ保持部14に保持されている参照波形39と比較される。そして、比較結果に基づく血管若さの情報が照合/本人判定部34からの個人特定情報とともに個人健康データベース15に蓄積される。なお、先に述べたように、この判定結果は、テレビ17にも表示される。
【0040】
さらに、脈波検出部36によって検出された脈波は、制御部12の成分分析部40により分析されて酸素飽和度などの動脈血の成分が検出される。検出された動脈血の成分は、第2健康判定部41により認証照合データ保持部14に保持されている参照成分42と比較される。そして、比較結果に基づく血液成分情報が照合/本人判定部34からの個人特定情報とともに個人健康データベース15に蓄積される。なお、第2健康判定部41の判定結果についても、テレビ17に表示される。
【0041】
個人健康データベース15に蓄積された第1健康判定部38の判定結果および第2健康判定部41の判定結果は、制御部12により医療機関9に送信される。なお、先に述べたように、第1健康判定部38の判定結果および第2健康判定部41の判定結果そのものもリアルタイムで医療機関9に送信される。
【0042】
なお、照合/本人判定部34には、脈波検出部36からの脈波信号も補助的に入力される。そして照合/本人判定部34は、血管パターン抽出部33で抽出した血管パターンと認証照合データ保持部14に保持される登録パターン35とが一致したとしても、脈波検出部36からの脈波信号の入力がなければ本人との判定を行わず、制御部12はドアロック11に開錠信号を送らない。これは、生体反応のない物質で偽造した血管パターンによりドアロックが開錠されてしまうのを防ぐためである。
【0043】
図3は、開錠認証センサの詳細構成を示すブロックである。図3では業務用開錠認証センサ21の場合に基づいて説明し、図1と共通のブロックには同一番号を付し、必要がない場合は説明を省略する。
業務用開錠認証センサ21では、構成部品が交換可能にユニット化されており、センサユニット51は、故障時の交換が可能なようにユニット化されている。またバージョンアップ時の交換にも対応できるよう、外形および電気接続部が規格化されている。また、認証を求める人の指が挿入される部分は、外部からの汚れからセンサユニット51を保護するための透明カバーなどの保護ユニット52として構成されており、これも損傷時やバージョンアップ時のために交換可能なユニットになっている。センサユニット51および保護ユニット52は、それぞれ独立に交換可能である。
【0044】
管理パソコン19の制御部53は、センサユニット51と接続されており、センサユニット51の機能を制御するとともに検知された信号を受ける。また、センサユニット51が正常に機能しているかどうかのチェックも行う。。
管理パソコン19の制御部53は、さらに保護ユニット52とも接続されており、保護ユニット52に汚れや破損がないかチェックする。これによって、戸外に露出させられた環境下における性能劣化に対応するとともにいたずらによる破損等についても迅速に対応する。
なお、保護ユニット52の汚れや破損のチェックは、上記のように直接保護ユニット52と制御部53を接続して行ってもよいが、これに代えてセンサユニット51からの出力を制御部53で分析し、その出力低下の様子から間接的に保護ユニットの汚れや破損を推定するようにしてもよい。
管理パソコンの制御部は、さらには、センサユニット51または保護ユニット52が交換されたときの初期動作確認も行う。具体的にはセンサユニット51や保護ユニット52の性能や動作のバラツキ等を補償するため、所定の初期動作を行わせて確認を行うとともにその結果に応じて出力のキャリブレーション等の調整を行う。
【0045】
入館拒否表示部54は、すでに説明したように、すべての居室から認証照合データ不一致の通知があるか、またはシステム障害によりいずれの居室からも認証できた旨の通知がなかったとき、その旨の表示を行う。補助認証部55は、暗証番号入力部またはICカード挿入部等として構成され、入館資格のあるマンションの住人がシステム障害によりマンションに入館できない場合に対応する。
【0046】
健康データ取得失敗表示部56は、個人認証には成功したが健康管理データ取得の観点からは充分な情報が取得できなかった場合にその旨およびその原因について警告表示を行う。すでに説明したように、この表示によって、健康管理データの取得期待している使用者は、その失敗に気づくことができる。
このように、健康データ取得失敗表示部6は、生体情報が健康管理情報として不充分であるときこれを報知する報知部となっている。報知の手段としては、視覚的な表示の他、警告音なども採用することができる。
【0047】
マンション入口ロック制御システム8は、健康管理情報を含む生体情報を業務用開錠認証センサ21によって取得するものの、その利用は専らA居室2側で行われる。したがって、健康データ取得失敗表示部6によって表示を行うべきかどうかの判断自体は、A居室2のAパソコン側で行い、その結果のみをマンション入口ロック制御システム8に通知して、健康データ取得失敗表示部56にこれを表示させる。
しかしながら、業務用開錠認証センサ21によって取得される生体情報が健康管理情報として充分かどうかはその出力レベル等により、マンション入口ロック制御システム8側で判断することも可能である。従って、健康データ取得失敗表示部56の表示を行わせるかどうかの制御を管理パソコン19独自の判断で行うよう構成してもよい。なお、管理パソコン19独自の判断とAパソコン5からの指示を併用して健康データ取得失敗表示部56の表示の制御を行わせるようにしてもよい。
【0048】
外部条件センサ57は、さらに、気温、湿度、風速などの気象条件を検出するもので、制御部53はこの外部条件センサの出力をセンサユニットからの情報と関連付け、健康管理データ取得時の日付時刻データとともにAパソコン5に送る。
【0049】
また、人センサ58は、マンション入口の所定のエリア内に人が立ったときこれを検知して認証センサの動作にトリガーをかけるものである。
【0050】
図3の業務用開錠認証センサ21におけるセンサユニット51および保護ユニット52の構成は、家庭用開錠認証センサ13にも採用できる。また、図3の入館拒否表示部54、補助認証部55、健康データ取得失敗表示部56、外部条件センサ57、人センサ58と同様の構成は、A居室2などの各居室における玄関ドア10にも設けられる。
【0051】
図4は、A居室2のAパソコンにおける制御部12の機能を示す基本フローチャートである。この基本フローチャートはAパソコンのOSの制御に従って、適宜繰り返し実行される。
基本フローチャートの機能がスタートすると、ステップS1で業務用開錠認証センサ21が変更されていないかどうかチェックする。変更があるとステップS2で管理パソコン19から新たなソフトの提供を受け、業務用開錠認証センサ21の情報を処理できるようAパソコン5のソフトを自動書き換えしてステップS3に移行する。業務用開錠認証センサ21に変更がなければ、直接ステップS3に移行する。
【0052】
ステップS3では、管理パソコン19の処理ソフトがバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS4で管理パソコン19からバージョンアップに関する新たなソフトの提供を受け、Aパソコン5のソフトを自動書き換えしてステップS5に移行する。バージョンアップがなければ、直接ステップS5に移行する。
【0053】
ステップS5では、医療機関9の健康照合データ登録部23において登録された新たな健康照合データがないかどうかチェックする。新たな健康照合データがあると、ステップS6でそのデータを健康照合データ保持部16に自動入力してステップS7に移行する。新たに登録された健康照合データがなければ、直接ステップS7に移行する。
【0054】
ステップS7では、医療機関9の健康照合ソフト24がバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS8で医療機関9の大型コンピュータ22からバージョンアップに関する新たなソフトの提供を受け、Aパソコン5のソフトを自動書き換えしてステップS9に移行する。バージョンアップがなければ、直接ステップS9に移行する。
なお、ステップS7では、具体的には医療機関9の最新の健康照合ソフト24がAパソコン5のソフトと比較され、両者が異なっていれば、健康照合ソフトのバージョンアップがあったと判断される。このようにバージョンアップの有無とは、医療機関9側でいつバージョンアップがあったかの問題ではなく、Aパソコン5側に現在どんなソフトが入っているかによって決まる。従って、A居室2が家庭内健康管理システムに新規加入してAパソコンには健康照合ソフトがまだ何もインストールされていない場合には、バージョンアップがあったと判断され、ステップS8では、その時点での医療機関9の最新の健康照合ソフトがAパソコン5に提供されて自動インストールされる。
【0055】
ステップS9は、家庭用開錠認証センサ13が変更されていないかどうかチェックする。変更があるとステップS10で家庭用開錠認証センサのドライバソフトをインストールする処理を行い、ステップS11に移行する。家庭用開錠認証センサ13に変更がなければ、直接ステップS11に移行する。
【0056】
ステップS11では、Aパソコン5の認証照合データ保持部14に開錠認証照合データを新たに登録する処理を行う。この処理は、家族のマンション入居のときや、新たに登録を必要と家族が増えたときや、業務用開錠認証センサ21または家庭用開錠認証センサ13が変更されて新たな機能が追加されたときなどに生じる。認証照合データを新たに登録する際、家庭用開錠認証センサ13のために登録を行う場合と、業務用開錠認証センサ21のために登録を行う場合では手続きが異なるので、その詳細については後述する。
【0057】
次いでステップS12においてセンサチェック処理を行う。ステップS12は、ステップS1やステップS9において開錠認証センサが変更されたときにその初期状態においてセンサが正常に動作することをチェックする他、センサに故障や劣化がないかどうか常にチェックするために必要なものである。その詳細については後述する。
【0058】
ステップ12に続くステップS13では、システムスタート処理が行われるがその詳細は後述する。ステップS13の処理が終わるとステップS14に移行し、認証トリガーを待機状態とする。認証トリガー待機状態では、具体的には、玄関ドアの前に人が立ったときこれを自動的に検知してトリガーがかかり認証機能がスタートできるようAパソコン5を待機させる。認証トリガー待機状態では、さらに、マンション入口に人が立ったときこれを管理パソコン19が認識してその旨をAパソコン5に通知した際にもトリガーがかかり認証機能がスタートするようAパソコン5を待機させる。
認証トリガー待機状態においてトリガーがかかると、Aパソコン5は、家庭用開錠センサ13での認証が求められたのか、または管理パソコン19からの通知があったのかを識別してそれそれ別に認証フローに入る。その詳細は後述するが、このようなトリガーがかかったときにAパソコン5が使用中である場合、トリガーがかかった旨の表示がAパソコン5のディスプレー上において行われる。
【0059】
図5は、図4のA居室2のAパソコンにおける制御部12の機能におけるステップS12のシステムスタート処理の詳細を示す
システムスタート処理が始まると、ステップS21で認証照合データ保持部14になんらかの開錠認証照合データが登録されているかどうかをチェックする。開錠認証照合データが登録されていれば、ステップS22で、その開錠認証照合データに対応した個人別に玄関ドア開錠の待機状態となる。
【0060】
次にステップS23に進み、A居室2がマンション入口ロック制御システム8に加入済みかどうかチェックする。加入済みであればステップS24で、照合認証データ保持部14に登録された認証照合データに対応した個人別にマンション入口開錠の待機状態としてステップS25に移行する。ステップS23でA居室2がマンション入口ロック制御システム8に加入済みでなければ、直接ステップS25に移行する。この場合、生体認証による開錠はA居室2の玄関ドア10だけとなり、生体認証によるマンション入口開錠の資格はない。
【0061】
ステップS25では、医療機関9が管理する家庭内健康管理システムにA居室2が加入しているかどうかチェックする。加入済みであれば、ステップS26で、照合認証データ保持部14に登録された認証照合データに対応した個人別に、まず健康管理データの健康管理データを個人別健康データベース15に蓄積させる機能を待機状態とする。
次いで、ステップS27で、個人別健康管理データ保持部15に蓄積されたセンサ出力の経時変化をテレビ表示する機能も待機状態とする。ここまでの機能は、健康照合データがなくても可能だからである。
【0062】
次いでステップS28で、医療機関9の健康照合データ登録部23にて登録された健康照合データが健康照合データ保持部16に保持されているかどうかチェックする。健康照合データがあれば、ステップS29に至り、照合認証データ保持部14に登録された認証照合データに対応した個人別に、センサ出力または個人別健康管理データ保持部15に蓄積されたセンサ出力と健康照合データとを照合する機能を待機状態とする。
次いで、ステップS30で、照合結果をテレビ表示する機能も待機状態とし、ステップS31に移行する。
【0063】
なお、ステップS21において認証照合データ保持部14に開錠認証照合データが全く登録されていない場合は、開錠システムの以降の機能ができないので、直接ステップS31に飛ぶ。
また、ステップS25において家庭内健康管理システムにA居室2が加入していなかった場合、以降の健康管理機能の実行ができないので、直接ステップS31に飛ぶ。
さらに、ステップS28で、医療機関9の健康照合データ登録部23にて登録された健康照合データが健康照合データ保持部16に保持されていない場合は、以降の照合機能の実行ができないので、直接ステップS31に飛ぶ。
【0064】
ステップS31からは、パソコンユーザ認証機能に入る。ステップS31では、認証照合データ保持部14にパソコンユーザ認証のための照合データが登録されているかどうかをチェックする。パソコンユーザ認証照合データが登録されていれば、ステップS32で、そのパソコンユーザ認証照合データに対応した個人別に、パソコンへのアクセス認証を待機状態とし、ステップS33に移行する。一方、ステップS31において認証照合データ保持部14にパソコンユーザ認証のための照合データが登録されていない場合は、それ以降の機能は不要なので直ちにシステムスタート機能を終了し、図4のステップS14に移行する。
【0065】
ステップS33では、医療機関9が管理する家庭内健康管理システムにAパソコン5のユーザ認証機能が加入しているかどうかをチェックする。加入済みであれば、ステップS34で、照合認証データ保持部14に登録された認証照合データに対応した個人別に、健康管理データの個人別健康データベース15への蓄積および照合認証データ保持部14に登録された認証照合データとの照合などの健康管理機能を待機状態とし、システムスタート機能を終了する。一方、ステップS33においてAパソコン5のユーザ認証機能が家庭内健康管理システムに加入していなければ、直ちにシステムスタート機能を終了する。
【0066】
図5では、健康管理データの蓄積と照合への待機をまとめてステップS34として記載している。しかし詳細には、ステップS34においても、まずはステップS26のように健康管理データの蓄積機能および経時変化表示機能を待機状態とし、その後、ステップS28のように健康照合データ保持部16における健康照合データの有無をチェックしたうえで照合機能を待機状態とする。
【0067】
図6は、玄関ドアの前に人が立って認証トリガーがかかった場合のA居室2のAパソコンにおける制御部12の機能を示すフローチャートである。
このトリガーがかかった場合、ステップS41において、まず玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS42に進み、家庭用開錠認証センサ13への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS41に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0068】
ステップS42において指の挿入があるとステップS43に進み、認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致するかどうかがチェックされる。一致があればステップS44に進み、家庭用開錠認証センサ13が健康管理データ取得に成功したかどうかがチェックされる。成功しない場合とは、家庭用開錠認証センサ13で得られた情報が開錠照合には充分であるが、健康管理データとするには不十分である場合である。このように、家庭用開錠認証センサ13で得られた情報については開錠照合に充分なレベルと健康管理データとして充分なレベルには差があり、通常、充分なレベルの情報を得るには後者の方がより高い精度が要求され、また情報の取得にはより時間がかかる。従って、指の挿入時間が短いと、ステップS43で開錠認証照合データが一致した旨の判断が行われても、ステップS44に至って、家庭用開錠認証センサ13が健康管理データ取得に失敗した旨の判断が行われる可能性がある。
ステップS44で健康管理データ取得が成功したことが確認されるとステップS45に進み、取得したデータを個人健康データベース15に蓄積する。個人健康データベース15に蓄積されたデータは医療機関9との契約により、ステップS45の段階でリアルタイムに大型コンピュータ22にも送信され、総合健康データベースに27にも蓄積される。これによって、個人健康データベースの内容がバックアップされるとともに、引越し等への対応も可能となる。
【0069】
次いで、ステップS46において、健康照合データ保持部16に照合データがあるかどうかをチェックし、データがあればステップS47に進んで、取得したデータとの照合処理を行う。そしてステップS48に進み、照合の結果健康管理データに異常があるかどうかをチェックする。異常があればステップS49に進み、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備し、ステップS50に進む。ステップS48において異常がなければ、直接ステップS50に進む。上記の「健康異常」の表示にあたっては、ステップS43において誰のデータであるか判明しているので、「誰が健康異常であるか」の表示を行うことができる。
【0070】
テレビでの表示においては、以上のように構成する場合の他、ステップS48において異常ではなくても注意を喚起すべき新しいデータがあるときはこれをステップS49で表示するよう構成することができる。
また、ステップS49において、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備する代わりに、緊急性の高いときはテレビ17のスイッチを強制的にオンにして即座に表示を開始するよう構成してもよい。
また、ステップS49の表示を行うか行わないかをA居室2の各個人毎に予め希望通りに選択しておくことができるよう構成することも可能である。
【0071】
ステップS50では、ステップS47の照合結果を個人健康データベースに蓄積する。個人健康データベース15に蓄積された照合結果のデータについても、医療機関9との契約により、ステップS50の段階でリアルタイムに大型コンピュータ22に送信され、総合健康データベースに27にも蓄積される。ステップS48で異常を検出した旨の情報も同時に大型コンピュータ22に送信され、総合健康データベースに27に蓄積される。
以上の処理を経てステップS51に至り、ドアロック11に開錠を指示する。ドアロック11は、その指示に応じて開錠を実行する。ドアロック11の開錠指示後、ステップS52で玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックを再度行い、所定時間経過していれば玄関ドア開錠処理を終了する。ステップS52の意味は後述する。
なお、ステップS46において、健康照合データ保持部16に照合データがなければ、照合関連の処理は不要なので、直接ステップS51に至り、ドアロック11に開錠を指示する。
【0072】
一方、ステップS44において、健康管理データの取得に失敗した場合は、ステップS53おいてデータ取得失敗の旨の表示およびステップS54においてその理由の表示をし、ステップS51に至る。このように健康管理データの取得に失敗した場合であっても、ドアロック開錠の指示自体は行う。
玄関ドアから入室しようとしてデータ取得失敗表示およびその理由を見た利用者は、健康管理データの取得を重視する場合には、再度家庭用開錠承認センサ13に指を挿入してチェックを行うことを望む。ステップS52はこのために設けられているものであり、ドアの前に人が立ってから所定時間経過していない場合はステップS41からステップS42に戻り、指の挿入からやり直すことを可能とする。所定時間が経過してしまった場合は開錠処理を終了するが、どうしても健康管理データの取得をやり直したい場合は、一度玄関ドアから離れ、再度玄関ドアに近づいて、図6のトリガーをかけ直せばよい。
なお、ステップS53でデータ取得失敗表示を見た利用者は、急いでいる場合、そのままA居室5に入室して差し支えない。この場合、ステップS54で表示される失敗理由を理解しておき、次回の入室時からはその失敗の理由を除去するよう気をつけて指の挿入を行えばよい。
【0073】
ステップS41において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS55に移行し、入室拒否表示を行う。次いで、ステップS56において指が挿入されていない旨の拒否理由の表示を行った後、ステップS57に進む。
ステップS57では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS51に移行してドアロック開錠を指示する。但し、ステップS57経由でステップS51に至るときは、ステップS50またはステップS54経由の場合と区別できる信号とする。ステップS57はあくまで補助手段であり、セキュリティの観点からは危険が大きいので、上記区別できる信号に基づいて開錠記録を残すとともに必要に応じて警告を行うためである。
補助認証が行われないかまたは補助認証が失敗したときは、ステップS52を経て開錠処理を終了するので、ドアロックの開錠は行われない。
【0074】
また、ステップS43において、開錠認証照合データが一致しないか、または指が挿入されるが照合に必要なデータが取得されなかった場合も、ステップS55に移行し、入室拒否表示を行う。次いで、ステップS56において開錠認証照合データが一致しない旨の理由表示または照合に必要なデータが取得されない理由の表示を行う。
その後、ステップS57に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS51に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS52に進む。
この場合、ステップS52において所定時間が経過していなければステップS41を経てステップS42に戻るので、指の挿入が不適切であった場合、ステップS56の理由表示を参考に指の挿入をやり直せばステップS43からステップS44に進むことも可能となる。
【0075】
ここで、ステップS43がステップS44以前に設けられていて、開錠認証照合データが一致しないと健康管理データ取得のフローに入れないよう構成していることの意義について補足する。その第一義は、開錠認証照合データが一致しない場合、それは健康管理データを取得する意味のな他人であるからである。
しかし、より重要なのは、正しく指を挿入しておれば本来開錠認証照合データと一致するはずの個人について、開錠認証照合データとの一致がない場合に健康管理データを取得しないようにしている点である。つまり、開錠認証照合データとの一致は指が正しく挿入されたことの保障の意味を持っており、この場合だけ健康管理データを取得するよう構成することによって、指が誤って挿入された状態で不正確な健康管理データが取得されることを防いでいることに意義がある。
換言すれば、取得した生体情報に基づいて生体認証を行うとともに健康管理情報処理を行うことが可能な場合において、生体認証ができないときは健康管理情報処理部を無効とし、これによって健康管理情報の信頼性を保障している。
【0076】
図7は、マンション入口にの前に人が立ったことを管理パソコン19が検出し、この通知を受けたAパソコン5に認証トリガーがかかった場合の制御部12の機能を示すフローチャートである。その動作は図6とほぼ同一なので、説明の大半は省略し、異なっている部分のみコメントする。
図6のステップS42では、指の挿入のチェックを行っていたが、図7の場合は管理パソコン19がこのチェックを行う。従って、図7のステップS62では管理パソコン19の業務用開錠認証センサ21からの指データの受信があったかどうかをチェックする。
【0077】
ステップS64は図7において加えられたもので、ステップS63で開錠認証データが一致した場合、マンション入口にA居室2の住人が帰宅したことを意味するので、このことをA居室2内に報知するための信号を発生する。この帰宅報知信号の利用法としては、例えば夫の帰宅をA居室2内の妻に事前報知するよう構成する。また独居の場合は、帰宅報知信号によりA居室2内のエアコンおよび照明のスイッチを入れるよう構成する。
【0078】
図7では、図6のステップS53、ステップS54、ステップS55、ステップS56で行われるのと同様の表示に関連するステップがあるが、図7の場合、これらの表示の実行は管理パソコン19が行うので、Aパソコン5は、ステップS74、ステップS75、ステップS76、ステップS77において、管理パソコン19による表示のための情報送信のみを行う。
なお、図6ではステップS56における入館拒否理由表示の後、補助認証一致によるドアロック開錠のためのステップS57を置いている。これに対し、マンション入口ロック制御システムでは、補助認証一致による開錠制御は専ら管理パソコン19のよって行われるので、図7では、ステップS77において入館拒否の情報送信を行った後、直接ステップS73に移行する。
【0079】
さらに、図6のステップS51と同様の開錠処理が、図7でも行われるが、図7の場合、開錠の指示は管理パソコン19が行うので、Aパソコン5は、ステップS72において、管理パソコン19への入口ロック開錠信号の送信処理を行う。
ステップS72において送信される信号は、マンション入口ドアロック開錠指示に直結するセキュリティ上非常に重要な信号なので、ステップS72では、ステップS62において指データとともに受信する管理パソコン19からの指示に基づいて慎重な送信処理が行われる。まず、管理パソコン19の指示する暗号コードによって入口ロック開錠信号が暗号化される。さらにその送信タイミングも管理パソコン19の指示する極短時間幅内に行われる。これらの点については、図10でさらに詳しく説明する。
以上コメントした部分以外の図7における機能は基本的には図6と同様であるので、説明を省略する。
【0080】
図8は、図6のステップS47または図7のステップS68において制御部12によって行われる照合処理の詳細を示すを示すフローチャートである。
照合処理がスタートすると、まずステップS81において個人健康データベース15に過去の蓄積データがあるかどうかがチェックされる。過去の蓄積データがあればステップS82に進み、所定の蓄積期間が経過しているかどうかのチェックが行われる。これは、蓄積データの分析照合を行う意味のある期間が経過しているかどうかを見るためのものである。
蓄積データの分析照合を行うのに意味がある充分な蓄積期間が経過していればステップS83に進み、個人健康データベース15から必要な蓄積データを呼出す。呼出された蓄積データは、ステップS84において蓄積データ照合処理される。この蓄積データ照合処置においては、今回取得したデータも含めて処理する。以上で蓄積データに関する照合を終了し、ステップS85に移行する。ステップS84の蓄積データ処理については経時変化や季節変化など種々の照合があるのでその詳細は後述する。
なお、ステップS81において過去の蓄積データがなければ、直接ステップS85に移行する。また、ステップS82において所定期間が経過してない場合も直接ステップS85に移行する。いずれの場合も、蓄積データ照合処理をする意味がないからである。
【0081】
ステップS85では今回取得したデータを個人健康データベース15に蓄積し、ステップS86に進む。ステップS86では、今回取得した健康照合データと保持部16に保持されている照合データとの単純な照合を行い、ステップS87に進む。ステップS87以下では、状況にあわせてより高度の照合が可能かどうかチェックされ、可能であればそれらの照合が実行される。
【0082】
まず、ステップS87では、今回取得された健康管理データが業務用開錠認証センサ21に特有のセンシング機能に由来する項目であるかどうかチェックする。この答えがノーであるということは、取得されたデータが業務用開錠認証センサ21および家庭用開錠認証センサ13の両者で共通に取得可能な項目であることを意味する。従って、この場合はステップS88に進み、所定時間内に取得された同一項目のデータがあるかどうかをチェックする。
所定時間内に取得された同一個目のデータがある場合、通常は、A居室2の住人がまずマンション入口にて業務用開錠認証センサ21による認証を行ってこれを通過し、次いで所定時間内にA居室の玄関ドアに至って家庭用開錠認証センサ13による認証を行ったことが想定される。
【0083】
ステップS88で所定時間内に取得された同一個目のデータがある場合はステップS89に進み、データ取得条件が同一かどうかをチェックする。条件が同一である場合は、ステップS90に進む。この場合、データが大きく異なっている場合は一方がエラーである可能性が高いので、ステップS90では両者のデータが近似しているかどうかのクロスチェックを行う。クロスチェックの結果両方のデータが近似しており、両者とも信頼できるときはステップS91に進んで両者の平均化処理を行い、照合処理を終了する。
【0084】
一方、ステップS90のクロスチェックの結果、両者が大きく食い違っている場合は、いずれかのセンサが異常である可能性があるのでステップS92に進み、過去のデータを参考にして信頼できない方のデータを出したセンサを異常状態にあると判断し警告を行う。あわせてステップS93でそのセンサからのデータをエラーと見做し、破棄する。
以上のように、ステップS89においてデータ取得条件が同一の場合、業務用開錠認証センサ21によって取得されたデータと家庭用開錠認証センサ13によって取得されたデータにより同一項目をダブルチェックし、データの信頼性を高める。
【0085】
一方、ステップS89において、データ取得条件が異なっていた場合、データ取得条件に依存する健康管理データの変化の因果関係を含めた照合が可能となる。データ取得条件が異なる場合とは、すでに述べたように、業務用開錠認証センサ21によるチェックを行ったときと家庭用開錠認証センサ13によるチェックを行ったときとで同一人物自身の運動負荷が異なっていた場合などが該当する。さらに、通常は戸外にある業務用開錠認証センサ21でチェックを行ったときと通常は館内にある家庭用開錠認証センサ13でチェックを行ったときとで、気温などの気象条件が異なり、これが健康管理データに影響を与えている場合もこれに該当する。
ステップS89でこのようなデータ取得条件の違いが検知されたときには、ステップS94に進み、運動負荷が異なる場合には脈拍数などのデータ、気象条件が異なっている場合には、気温、湿度、風速などのデータを健康管理データ取得の条件として付加し、このような因果関係を含めて照合を行う。
【0086】
ステップS87において、取得された健康管理データが業務用開錠認証センサ21に特有のセンシング機能に由来する項目である場合には、同一の項目が家庭用開錠認証センサ13によって検出されることはないので、ステップS86の単純照合だけで直ちに照合処理を終了する。
また、ステップS89において所定時間内に取得された同一項目のデータがない場合も、後の処理は意味がないので直ちに照合処理を終了する。
なお、以上の機能において、何か特別な事情で業務用開錠認証センサ21のみによる認証または家庭用開錠認証センサ13のみによる認証を所定時間内に続けて行った結果ステップS88の答えがイエスになった場合でもステップS89に進むことがあるが、その場合でも効果は有効である。
【0087】
図9は、マンション入口ロック制御システム8の管理パソコン19における制御部53の機能を示す基本フローチャートである。この基本フローチャートはAパソコンのOSの制御に従って、適宜繰り返し実行される。
図9のフローがスタートすると、ステップS101で業務用開錠認証センサ21のセンサユニット51が変更されていないかどうかチェックする。変更があるとステップS102で新たなセンサユニットのドライバソフトをインストールする処理を行う。このとき、新たなセンサユニット51が医療機関9から提供されたものである場合は、制御部53は医療機関9の大型コンピュータから通信によりドライバソフトの提供を受け、自動インストールを行う。イ
ンストール処理が終了すれば、ステップS103に移行する。なお、センサユニット51に変更がなければ、直接ステップS3に移行する。
【0088】
ステップS103では、医療機関9の健康照合ソフト24がバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS104で医療機関9の大型コンピュータ22からバージョンアップに関する新たなソフトの提供を受け、管理パソコンにおける健康管理データ取り扱いソフトを自動書き換えしてステップS105に移行する。バージョンアップがなければ、直接ステップS105に移行する。
【0089】
なお、健康照合ソフト24のバージョンアップの通知は医療機関9側のサービスとしてビジネス上大きな意味を持っている。従って、医療機関9はステップS103の過程を利用してその他の医療機関9側のサービス情報を提供することができる。例えば、次回受信日のリマインダ、定期健康診断の案内さらには花粉情報などを契約している個人のニーズに合わせて送信する。
ステップS104では、これら健康管理データ取り扱いソフト変更に直接関係のない情報を受け取ったときでも、これを記録し、次回にテレビ17がつけられたときにそのサービス情報が表示されるよう準備を行う。
【0090】
ステップS105では、業務用開錠認証センサ21の保護ユニット52が外部環境に曝されることによる劣化や破損またはいたずらによる破壊などにより損傷していないかどうかチェックする。損傷があり、センサユニット51が正常に動作しないと判断されたときは、ステップS106で保護ユニット交換を促す警告を行ってステップS107に移行する。なお、保護ユニット52に損傷がなければ、直接ステップS107に移行する。
【0091】
ステップS107では、マンション入口ロック制御システム8に新たな居室が加入したかどうかまたは加入済みの居室が脱退したかどうかをチェックする。加入または脱退があるとステップS108でその旨の処理を行う。
これによって、新規加入の居室の住人に対するマンション入口の開錠を可能にするとともに、常に全居室からの認証結果受信の有無を把握できるようにする。加入または脱退の処理が終わるとステップS109に移行する。なお、居室の加入または脱退がないときは、直接ステップS109に移行する。
【0092】
ステップS109では、マンション入口ロック制御システム8において認証照合データの新規登録が求められたかどうかをチェックする。新規登録が求められた場合にはステップS110に進んで登録処理を行い、ステップS111に移行する。なお、新規登録が求められていないときは、直接ステップS111に移行する。ステップS110の登録処理の詳細については後述する。
【0093】
ステップS111では、センサチェック処理を行う。これは図4のステップS12と同様のものであるが、管理パソコン19の場合、業務用開錠認証センサ21のチェックを担当し、その変更の際の初期状態での動作チェックを行う他、その後の故障や劣化がないかどうかのチェックを行う。その詳細については後述する。
【0094】
次いでステップS112に移行し、マンション入口での認証トリガーを待機状態とする。具体的には、マンション入口に人が立ったときこれを管理パソコン19が認識して認証機能がスタートするよう管理パソコン19を待機させる。
【0095】
図10は、マンション入口にの前に人が立ったことを管理パソコン19が検出し、認証トリガーがかかった場合の制御部53の機能を示すフローチャートである。
このトリガーがかかった場合、ステップS115において、まずマンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS116に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS115に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0096】
ステップS116において指の挿入があって生体情報が取得できるとステップS117に進み、マンション入口ロック制御システムに加入している全居室に取得データを送信する。次いで、ステップS118において、送信した取得データと開錠認証照合データが一致したことを示す認証データが受信されたかどうかがチェックする。なお、この認証データは偽造防止や誤信号との混同防止のため、暗号化されている。この暗号化コードは乱数表によってその都度変更され、ステップS117の取得データ送信時に各居室に伝えられる。ステップS118において、いずれかの居室から認証データの受信があればステップS119に進む。
【0097】
ステップS119では、ステップS118における受信がステップS117における送信に関連して決められる所定の極短時間幅内にあったのかどうかチェックする。後述のようにステップS118において受信する信号は、入口ドアロック開錠指示に直結する非常に重要な信号なので、ステップS119を置いて、さらに誤信号による誤動作防止と偽造認証データ信号発信によるロック破りに対抗する。特に認証データの偽造に対抗するため、ステップS119における極短時間幅は乱数表に基づいてその都度変更され、ステップS117によるデータ送信を受けた居室のパソコンだけにその時間幅が指定される。居室のパソコンは指定された時間幅の間に認証データを管理パソコン19に送信するので、この時間幅以外に受信された認証データ信号は偽造信号または誤信号と判断される。
ステップS119において認証データが指定どおりの極短時間幅に受信されたことが確認されるとステップS120に進む。
【0098】
ステップS120では、いずれかの居室から健康管理データ取得失敗の旨の通知が入信されたかどうかチェックする。失敗した場合とは、送信した取得データが開錠照合には充分であるが、健康管理データとするには不十分であるといずれかの居室にて判断された場合である。
ステップS120で健康管理データ取得失敗の旨の通知がいずれの居室からも受信されないことが確認されるとステップS121に進み、入口ロック20に開錠を指示する。入口ロック20はその指示に応じて開錠を実行する。
以上のステップS118およびステップS120における居室から管理パソコンへの認証データの送信および健康管理データ所得失敗の送信においては、これらの送信がいずれの居室から行われたか管理パソコン19側ではわからないようにし、プライバシー保護に配慮する。
【0099】
入口ロック20開錠指示後、ステップS122に進み、ステップS116で取得した生体情報を消去する。これは、プライバシー保護の万全を期するためである。その後ステップS123に進み、再度マンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間が経過していれば、開錠処理を終了する。
【0100】
一方、ステップS120において、健康管理データの取得に失敗した旨の通知を受信したことが確認された場合は、ステップS124においてデータ取得失敗の旨の表示を行うとともに、ステップS125においてその理由の表示をし、ステップS121に至る。このように、健康管理データの取得に失敗した場合であっても、入口ロック開錠の指示を行うことは、マンション入口開錠制御システム8でも同様である。
【0101】
ステップS115において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS126に移行し、入館拒否表示を行う。次いで、ステップS127において指が挿入されていない旨の拒否理由の表示を行った後、ステップS128に進む。
ステップS128では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS121に移行して入口ロック開錠を指示する。このときステップS120またはステップS125経由でステップS121に至る場合と区別できる信号とするのは、図6の57と同様である。得にステップS128の場合はマンション入口という公共の場所なのでより高いセキュリティが求められる。従ってステップS128の補助認証の際には誰がこれを求めたのかの個人IDを取得して記録に残す。
補助認証が行われないかまたは補助認証が失敗したときは、ステップS122およびステップS123を経て開錠処理を終了するので、入口ロック20の開錠は行われない。なおこの場合、元々消去すべき生体情報の取得がないのでステップS122では結果的に何もしないのと同じことになるが、次に述べる事情のためにステップS122を経由するようにしている。
【0102】
ステップS116を経由して生体情報を得ている場合であって、ステップS118においていずれの居室からも認証データを受信しない場合、ステップS126に移行し、入館拒否表示を行う。次いで、ステップS127において入室拒否表示の理由表示を行う。
また、ステップS119において認証データが指示通りの極短時間幅内に受信されなかった場合も、同様にステップS126に移行して入館拒否表示を行うとともにステップS127において入室拒否表示の理由表示を行う。
表示すべき理由に関する情報は、管理パソコン19だけでは分からない場合もあるので、そのときは認証機能を担当している各居室のパソコンから入手する。ただし、どの居室からの情報であるかは管理パソコン19が検知できないようにし、各居室のプライバシーを守っている。
その後、ステップS128に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS121に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS122に進み、ステップS116で取得した生体情報を消去する。このように、認証ができなかった場合であっても取得した生体情報は消去し、プライバシーの保護を万全とする。
次にステップS123に進むが、ここで所定時間が経過していなければステップS115を経てステップS116に戻るので、指の挿入が不適切であった場合、ステップS127の理由表示を参考に指の挿入をやり直せばステップS116からステップS117に進むことも可能となる。
【0103】
図11は、医療機関9の大型コンピュータ22における制御部26の機能を示す基本フローチャートである。機能がスタートすると、ステップS131において業務用開錠認証センサ21の新規登録または既登録センサの抹消または更新がないかどうかチェックする。更新にはセンサのバージョンアップによる機能変更も含まれる。業務用開錠認証センサ21に登録、抹消、更新のいずれかがあればステップS132に進み、大型コンピュータのデータまたはソフトにその旨の変更を行った上でS133に移行する。これによって医療機関9がカバーする業務用開錠センサの変更に対応することができる。なお、業務用開錠認証センサ21に変更がなければ直接ステップS133に移行する。
【0104】
ステップS133とステップS136では、家庭用錠認証センサ13の新規登録または既登録センサの抹消または更新がないかどうかチェックする。更新にはセンサのバージョンアップによる機能変更も含まれる。家庭用認証センサ13に登録、抹消、更新のいずれかがあればステップS134に進み、大型コンピュータによって引越し処理が行って、ステップS135に移行する。
家庭用開錠認証センサの登録、抹消、更新は、単なるセンサーのバージョンアップによることもあるが、多くの場合、家族の引越しによるマンションへの入退居を伴い、居室内パソコン内のデータ処理も必要なので、引越し処理にはいくつかの手続きが伴う。その詳細については後述する。なお、家庭用開錠認証センサ13に変更がなければ直接ステップS135に移行する。
【0105】
ステップS135では、医療機関9における個人の新規登録または既登録個人についての抹消または更新がないかどうかチェックする。変更があればステップS136に進み、大型コンピュータにその旨の登録、抹消、更新を行う。
また、個人の新規登録または既登録個人についての抹消は、多くの場合、医療機関の変更により生じるので、ステップS137で変更先の他の医療機関との個人データの引継ぎを行う。
つまり、他の医療機関から医療機関9に転入した結果新規登録となった場合には、元の医療機関の大型コンピュータに記録されていた個人の健康照合データおよび健康管理データを、転入した医療機関9の健康照合データ登録部23および総合健康データベース27にそれぞれ移管する。逆に、他の医療機関に転出した際には、医療機関9の健康照合データ登録部23および総合健康データベース27に保持されていた個人の健康照合データおよび健康管理データをそれぞれ転出先の医療機関に転送するとともに、医療機関9の大型コンピュータ22からは消去する。
なお、個人の誕生、死亡、または結婚による姓の変更など、健康管理の登録、抹消、更新の手続きが複数の医療機関にまたがらない場合、ステップS137の処理は省略される。
以上の処理の後、ステップS138に移行する。なお、ステップS135において個人の登録、抹消、更新がなければ直接ステップS133に移行する。
【0106】
ステップS138では、登録されている個人の健康照合データについて登録、抹消、更新がないかチェックする。健康照合データに異動があれば、ステップS139に進み、大型コンピュータ22の健康照合データ登録部23のデータを変更してステップS140に移行する。なお、健康照合データに異動がなければ、直接ステップS140に移行する。
【0107】
ステップS140では、登録されている個人による統計処理データ配信希望について登録、抹消、更新がないかチェックする。統計処理希望に異動があれば、ステップS141に進み、大型コンピュータ22の希望データを変更してステップS142に移行する。なお、統計処理希望に異動がなければ、直接ステップS142に移行する。
【0108】
ステップS142では、契約している個人のパソコンから医療機関9に送られる健康センサのデータまたは健康照合結果のデータを受信するための待機処理を行う。また、ステップS142では、契約している個人のパソコンに、健康照合データ、診断結果、統計処理情報など、種々の情報を送信する処理の待機を行う。以上で基本フローを終了する。
【0109】
図12は、医療機関9の大型コンピュータ22の制御部26における送信処理の詳細を示すフローチャートである。この送信処理は、図11のステップS143によって制御部26が待機状態なっているとき種々のトリガーによってスタートする。
送信処理がスタートすると、ステップS151で、健康照合データ登録部23においてある個人に対する健康照合データが新規登録されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS152に進み、その個人の使用しているパソコンに健康照合データの送信を行ってステップS153に移行する。例えば、健康照合データを新規登録したのがA居室2に入居している家族の一員なら、Aパソコン5に健康照合データを送信し、Aパソコン5は受信した健康照合データを健康照合データ保持部16に収納する。なお、健康照合データの新規登録によってトリガーがかかったのではないときは、直接ステップS153に移行する。
【0110】
ステップS153では、総合健康データベース27に保持されているデータに基づき、ある個人について健康照合ソフトよって新規に自動診断結果が出されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS154に進み、その個人の使用しているパソコンに自動診断結果の送信を行ってステップS155に移行する。なお、自動診断結果が出されたことによってトリガーがかかったのではないときは、直接ステップS155に移行する。
【0111】
ステップS155では、総合健康データベース27に保持されているデータに基づき、ある個人について医師25が診断入出力部28に診断結果を入力したことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS156に進み、その個人の使用しているパソコンに医師の診断結果を送信する。
【0112】
次いでステップS157に進み、自動診断結果と異なる医師の所見があるかどうかがチェックされる。医師の異所見があった場合はステップS158に進み、その旨の警告を個人のパソコンに併せて送信し、医師の所見が自動診断結果と異なることについて注意を喚起する。所見が異なるときは医師の所見が優先される。
次いで、ステップS159に進み、所見が異なった理由に基づいて健康照合ソフトを改変するための処理を開始させた後、ステップS160に移行する。
【0113】
ステップS155において医師の診断結果がない場合は、直接ステップS160に移行する。また、ステップS157において自動診断結果と異なる医師の所見がない場合も、直接ステップS160に移行する。
【0114】
ステップS160では、統計処理の希望を登録している個人に配信すべき統計データが作成されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS161に進み、その個人の使用しているパソコンに、統計データおよびその統計データ中でその個人がどんな位置にいるかの情報を送信して送信処理を終了する。なお、統計データの作成によりトリガーがかかったのではないときは、直ちに送信処理を終了する。
【0115】
図13は、図11のステップS134における引越し処理の詳細を示すフローチャートである。
引越し処理がスタートすると、まずステップS171で、家庭用開錠認証センサの新規登録であるかどうかをチェックする。新規登録であればステップS172に進んで新規の家庭用開錠認証センサを医療機関9の大型コンピュータ22に登録する。する。これによって登録された家庭用開錠センサ13が大型コンピュータ22の管理下に入り、家庭用開錠センサ13がで取得された健康管理データが大型コンピュータ22で処理されるようになる。
【0116】
次いで、ステップS173に進み、新規登録された家庭用開錠認証センサが設置されている居室に入居した家族に医療機関9に登録済の個人が含まれていないかどうかをチェックする。そして登録済みの個人が含まれていればステップS174に進む。この場合は、例えば、別の住居において医療機関9にすでに登録されていた個人が転居し、マンション1のA居室2に入居してAパソコン5から家庭用開錠認証センサ13の登録をしてきた場合に相当する。
そのような場合は、その個人の健康照合データが大型コンピュータ22の健康照合データ登録部23に既に登録されている可能性があるので、ステップS174でその有無をチェックする。そして、健康照合データが登録されていた場合はステップS175でその健康照合データをAパソコン5に送信してステップS176に移行する。Aパソコン5は受信した健康照合データを健康照合データ保持部16に保持させる。なお、ステップS174において健康照合データの登録がなければ、直接ステップS176に移行する。
【0117】
医療機関9に登録済みの個人であれば、その個人の健康管理データが大型コンピュータ22の総合健康データベース27に保持されている可能性があるので、ステップS176でこれをチェックする。そして、登録があればステップS177でその個人の健康管理データをAパソコン5に送信してステップS178に移行する。Aパソコン5は受信した個人健康管理データを個人健康データベース15に保持させる。このような過去の個人健康管理データは経時変化をAパソコン5にてローカルにチェックする際有用となる。なお、ステップS176において個人健康管理データの保持がなければ、直接ステップS178に移行する。
【0118】
ステップS171において、家庭用開錠認証センサの新規登録でなかったときは、直接ステップS178に移行する。また、ステップS173において、新規登録された家庭用開錠認証センサに関する家族中に医療機関9に登録済の個人が含まれていなかった場合も、直接ステップS178に移行する。
【0119】
ステップS178では、家庭用開錠認証センサ13の抹消であるかどうかをチェックする。抹消の必要性は、例えば、A居室2に居住していた家族が転居する場合に生じる。家庭用開錠認証センサ13の抹消であればステップS179に進み、家庭用開錠認証センサ13の登録を医療機関9の大型コンピュータ22から抹消する。登録されていた家庭用開錠認証センサ13は大型コンピュータ22の管理外となる。
【0120】
次いで、ステップS180に進み、Aパソコン5に認証照合データ消去信号を送る。Aパソコン5は、この消去信号に応答し、認証照合データ保持部14から転居する家族全員の認証照合データを消去する。本来、開錠認証は医療機関9の管理する領分ではないが、開錠認証データは個人のプライバシーに関する生体データであり、同じ家庭用開錠認証センサ13に関連しているので、転居の際に医療機関9はこのようなプライバシー保護のサービスも行う。
【0121】
次いでステップS181に移行し、医療機関9の健康照合データ登録部23に転居する家族中の個人の健康照合データが登録されているかどうかをチェックする。登録があれば、その健康照合データは医療機関期間9でそのまま保持する。そしてステップS182に進み、Aパソコン5に健康照合データ消去信号を送ってステップS183に移行する。Aパソコン5は、この消去信号に応答し、健康照合データ保持部16から転居する家族全員の健康照合データを消去する。なお、ステップS181において健康照合データの登録がなければ、直接ステップS183に移行する。
【0122】
ステップS183では、医療機関9の総合健康データベース27に転居する家族中の個人の健康管理データがバックアップされているかどうかをチェックする。バックアップがあれば、その健康管理データは医療機関期間9側でそのまま保持する。そしてステップS184に進み、Aパソコン5に健康管理データ消去信号を送って引越し処理を終了する。Aパソコン5は、この消去信号に応答し、個人健康データベース15から転居する家族全員の健康管理データを消去する。なお、ステップS183において健康管理データのバックアップがなければ、直ちに引越し処理を終了する。
【0123】
ステップS178において、家庭用開錠認証センサ13の抹消でなかったときはステップS185に進む。この場合は、家庭用開錠認証センサの新規登録でも抹消でもなかったことを意味し、引越しを伴わない家庭用開錠センサの更新であるので、ステップS185で更新処理を行い、引越し処理を終了する。
【0124】
以上の実施例1では、複数の家族が入居しているマンションにおける実施を例に説明してきた。しかしながら実施例1ようなシステムの実施は、これに限られるものではなく、複数の会社が入居している雑居ビルであって共通の入口を有するケース、または複数の部署が入居している事業所であって共通の入口を有するケースなどでも実施可能である。
【実施例2】
【0125】
図14は、本発明の生体認証兼健康管理システムの実施例2のブロック図である。複数の家族が入居しているマンションの入口およびその各居室ドアの開錠システムに関する点は実施例1と共通するが、携帯電話101を利用した点が実施例1と異なる。なお、マンション入口ロック制御システム8および医療機関9の構成は実施例1と共通する点が多いので、図1と共通のブロックには同一番号を付し、必要がない場合は説明を省略する。
また、実施例2の場合、各居室の玄関ドアにおけるロック制御システムは、マンション入口ロック制御システム8と同様の構成なので、図14における図示と説明を省略する。
【0126】
マンション入口ロック制御システム8の構成は、A近距離無線通信部102を有する。このA近距離無線通信部102としては、例えばブルートゥース(商標)、無線LAN、無線USBなどの通信システムが採用可能である。
実施例2の管理パソコン19は、実施例1と同様、マンション1のA居室2におけるAパソコン5などと通信可能であるが、さらに入口ロック20の開錠および健康管理データ処理のためにA近距離無線通信部102によって携帯電話101と通信可能となっている。マンション入口ロック制御システムのその他の構成は実施例1と共通である。
【0127】
医療機関9は、B近距離通信部103およびB電話通信部104を有する。B近距離通信部103は、A近距離通信部と共通の通信システムにより構成される。また、B電話通信部は携帯電話通信システムに従ったものである。
実施例2の医療機関9の大型コンピュータは、実施例1と同様、マンション入口ロック管理システム8やマンション1のA居室2におけるAパソコン5などと通信可能であるが、さらに健康管理データ処理のためにB近距離無線通信部103またはB電話通信部によって携帯電話101と通信可能となっている。医療機関9のその他の構成は実施例1と共通である。
【0128】
実施例2において、マンション入口の開錠を望む人は、携帯電話101を持ってマンション入口に近づく。管理パソコン19の認証トリガーは、実施例1と同様の人センサ58が人の接近を検知したことによっても可能であるが、併せて、A近距離無線通信部102の通信圏内に携帯電話101が入ったことをA近距離無線通信部102自体が検知することによってもトリガーがかかるようになっており、これらのいずれか早い方の検知によってトリガーがかかる。
業務用開錠認証センサ21に指が挿入されて情報が取得されると、管理パソコン19はその情報をA近距離無線通信部102から携帯電話101に送信する。携帯電話101には、A近距離無線通信部102と共通の通信システムに基づくC近距離無線通信部105が設けられている。
【0129】
A業務用開錠認証センサ21が取得した情報を近距離無線通信部102から受信したC近距離無線通信部105は、これを制御部106に送る。制御部106に送られた業務用開錠認証センサ21からの情報は、認証照合データ保持部107にあらかじめ登録しておいた認証照合データと照合される。そして、照合の結果、マンションへの入館資格がある人であることが認証されると、制御部106はその旨をC近距離無線通信部105からA近距離無線通信部102を経由して管理パソコン19に通知する。
管理パソコン19はこの通知に応じて入口ロック20に開錠信号を送る。一方、認証照合データと一致しなければ制御部106は同様のルートで管理パソコン19に不一致の旨通知する。この場合、管理パソコン19は入口ロック20に開錠信号を送らない。
【0130】
以上のように、実施例2においても、マンション入口ロック制御システム8の管理パソコン19自体には認証照合データの記録や照合機能はなく、単に照合結果が携帯電話101から通知されるだけである。このような配慮により、血管パターンや眼底パターンなどプライバシーにかかわる生体認証用の認証照合データは携帯電話101内に留められる。また、管理パソコン19自体に照合機能がなく、かつ照合結果が誰の携帯電話から来たものか分からないので、業務用開錠センサ21によって取得されるデータも誰のものかわからず、実施例1と同様にしてプライバシーが保護される。
【0131】
業務用開錠認証センサ21は、実施例1と同様、認証用の情報だけでなく、健康管理情報も取得できる。従って、業務用開錠認証センサ21による健康管理も可能となる。
つまり、A業務用開錠認証センサ21によって取得され、近距離無線通信部102からC近距離無線通信部105を経て制御部106に送られた情報は血液の成分情報や血管の若さなどの健康管理データを含んでいる。そこで、制御部106は、これらの健康管理データーを健康照合データ保持部108に登録されている携帯電話所有者本人の健康照合データと照合する。
実施例1と同様、健康管理データ保持部108には、健康指標となる値そのものだけでなく、その値の経時変化についての照合用経時変化データも登録されている。従って、制御部106は、業務用開錠認証センサ21から送られてくるその時々の健康管理データを健康照合データと照合するとともに、本人健康データベース109に蓄積されたデータに基づく健康指標の経時変化を健康照合データ保持部108に登録された照合用経時変化データと比較し、健康指標となる値の経時変化の速さなどの観点からも照合を行う。健康指標の値の照合結果および健康指標の経時変化の照合結果は、携帯電話の表示部110に表示される。この表示については、例えば照合の結果、異常と認められるときには警告音を発して携帯電話101の所有者が表示部110に注目するようにする。
【0132】
携帯電話101は、さらに実施例1のユーザ認証センサ18と同様の生体認証機能をもったユーザ認証センサ111を持っている。従って、携帯電話使用におけるユーザ認証の際にも、生体認証データと健康管理データの取得とを同時に行うことができる。
【0133】
携帯電話101は、また、電話中に健康情報を検知できる健康センサ112を有しており、ここから得られた情報についても業務用開錠認証センサ21やユーザ認証センサ111からの情報と同様、健康管理のために活用される。健康センサの例としてはマイク近辺に設けられる息成分センサや、スピーカ近辺またはイヤホンに設けられる耳式体温計などがある。健康センサ112は健康情報収集専用の機能をもっていればよく、必ずしも生体認証情報は得られなくてもよい。
【0134】
携帯電話101は、さらに、腕時計、ベルト、眼鏡、靴など、日常的な装身具に設けられた健康センサからの情報をC近距離無線通信部105で受信し、これらから得られた情報についても健康センサ112などからの情報と同様、健康管理のために活用する。
また、常に携帯電話の近辺にあるアイテムだけではなく、例えばマッサージ機などに設けた健康センサからの情報をC近距離無線通信部105で受信することによって、健康センサ112などからの情報と同様、健康管理のために活用することができる。
【0135】
図14における携帯電話101におけるC近距離無線通信部105は、以上のような元々他の用途のために提供されるアイテムに付加的に設けた健康センサからの情報を受け取って本人健康データベース109に記録する場合だけでなく、例えば医療機関9の待合室などに設置されている専用の血圧計によって得られた血圧データを血圧計に設けられたB近距離無線通信部103から受信し、本人健康データベース109に記録することもできる。
【0136】
また、C近距離無線通信部105を経て得られた情報や、ユーザ認証センサ111、健康センサ112から得られた情報については、健康照合データと照合した上で表示部110に表示する場合の他、照合なしに利用することもできる。例えば、単に本人健康データベース109に蓄積していき、蓄積された経時変化情報をそのままグラフにして表示部110に表示することも可能である。さらには、得られた情報をリアルタイムでそのまま表示部110に表示することも可能である。
このような、蓄積された経時変化情報をそのままグラフにして表示することは、図1の実施例1におけるテレビ17による表示でも可能である。また、得られた情報をリアルタイムでそのままテレビ17に表示することも可能である。
【0137】
携帯電話101は、当然のこととして、携帯電話本来の電話機能部113およびC電話通信部114を持っている。これらについては従来技術のとおりであるので説明は省略する。
説明の順序が逆になったが、C電話通信部114は医療機関9のC電話通信部と共通の携帯電話通信システムに準拠している。従って、携帯電話回線を通じたインターネットによって遠隔地においても携帯電話101と医療機関9は情報のやり取りが可能である。例えば、本人健康データベース109の内容をリアルタイムで送信して医療機関9にバックアップさせるとともに、医療機関9から自分自身の健康照合データや健康管理データ、診断結果などの配信を受けることができる。このように携帯電話101は、実施例1のAパソコンとほぼ同等の機能を持つとともに、さらに個人単位のプライバシーの保護が可能なものとなっている。
【0138】
携帯電話101と医療機関9との情報交換は、以上のように遠隔地においてB電話通信部104とC電話通信部114との間で行う他、健康照合データ登録のためなどで携帯電話101の使用者が医療機関9を実際に訪れたときには、医療機関9の通信スポットにおいてB近距離無線通信部103とC近距離無線通信部105との間で行うこともできる。
【0139】
図14の携帯電話101における制御部106の動作フローは、図7とほぼ同じである。但し、図7のステップS69におけるテレビ警告準備の代わりに、携帯電話101の表示部110での警告の準備を行う。これによって、その後表示部110がオンとなったとき自動的に「健康異常」の警告が行われる。
また、図14におけるマンション入口ロック制御システム8における管理パソコン19の制御部の動作フローも図10とほぼ同一である。但し、図10のステップS117における全居室への取得データ送信の代わりに、携帯電話101のC近距離無線通信部105へのデータ送信を行う。
【0140】
図14のような携帯電話101を利用したシステムの実施は、マンションや会社入口の開錠システムだけでなく、銀行における預金引き出しの本人確認など、お金や情報へのアクセスにおける個人認証に生体認証システムを導入している機関においても実施できる。
例えば、銀行における実施の場合、図14に「マンション入口ロック制御システム8」とあるのを「現金自動預け払い機」と読替えるとともに、図14に「業務用開錠認証センサ21」とあるのを「預金口座本人確認センサ」と読替え、さらに図14に「入口ロック20」とあるのを「預金引出し入力許可部」と読替えればよい。
上記の読み替えを行った図14において、携帯電話101を持った本人が「現金自動預け払い機」8に接近するとA近距離無線通信部102とC近距離無線通信部の交信が始まる。そして、「預金口座本人確認センサ」21に指を差し入れるとその情報が携帯電話101に送られて制御部106によって認証照合データ保持部107の照合データと比較され、一致していればその結果が管理パソコン19に送られてれ「預金引き出し入力許可部」20への預金引出し金額入力や預金引出し実行入力が可能となる。このように、生体認証における照合データの保持および照合は銀行側では行われないのでプライバシーが保護される。
また、「預金口座本人確認センサ」21から携帯電話101に送られてた情報には健康管理データも含まれているので携帯電話側でこれを表示したり、蓄積したり、健康初号データと比較したりすることができる。利用者に対するこのような利便は、銀行側のサービスとして捉えることができる。
【0141】
次に、開錠認証照合データの登録処理の詳細について説明する。
まず、実施例1の場合について説明すると、図15は、図4のステップS11における開錠認証照合データ登録処理の詳細を示すフローチャートである。フローがスタートすると、ステップS191でA居室2における玄関ドア10の開錠のための照合データを新規に登録する要求があるかどうかがチェックされる。要求があればステップS192に進み、
マンション入力照合データが既に認証照合データ保持部に登録済みかどうかチェックする。
登録済みでなければステップS193に進み、家庭用開錠認証センサ13からのセンサ出力の受信を待つ。この出力は、照合データ作成のために本人確認された個人の指を家庭用開錠認証センサ13に挿入することによって行われる。センサ出力の受信があればステップS194に進み、センサ出力に基づく照合データを仮登録する。
【0142】
一方、ステップS192においてマンション入力照合データが既に認証照合データ保持部に登録済みであれば、玄関ドア照合データとして共通に流用できる可能性があるのでス直接ステップS194に移行し、登録済みのマンション入力照合データをコピーしてこれを玄関ドア照合データとして仮登録する。
【0143】
次にステップS195に進み、家庭用開錠認証センサ13に再び指を挿入して同一である旨の照合が正常に行われるかどうかの確認を行う。ステップS195でこのような正常動作の確認ができればステップS196に進み、仮登録しておいた照合データを認証照合データ保持部14に本登録する。一方、正常動作の確認ができなければ、ステップS193に戻り、指を挿入し直して再度家庭用開錠認証センサ13からのセンサ出力を受信し照合データの仮登録をやり直す。登録済みのマンション入力照合データをコピーしてこれを玄関ドア照合データとして仮登録していた場合でも同様である。
ステップS195で正常動作の確認ができ、ステップS196で玄関ドア照合データの本登録が終わればステップS197に移行する。また、ステップS191で、玄関ドア照合データの新規登録が要求されていなければ、直接ステップS197に移行する。
【0144】
ステップS197では、マンション入口開錠のための認証照合データ新規登録が管理パソコン19によって要求されているかどうかがチェックされる。要求があればステップS198に進み、マンション入口ロック制御システム8において認証照合データ作成のために業務用開錠認証センサ21に指が挿入され、得られたセンサ出力に基づくデータが管理パソコン19から送信されるのを待つ。この管理パソコン19からのデータは、マンション入口ロック制御システム8において既に正常動作の確認が済んでいるものである。管理パソコン19からのデータが受信されるとステップS199に進み、管理パソコン19からのデータを仮登録する。
次いでステップS200に進み、管理パソコン19側の認証照合データを消去させるための信号を送信する。そして、ステップS201で認証照合データ消去済みの確認信号が管理パソコン19から送られてきたかどうかをチェックする。ステップS201において管理パソコン19側での認証照合データの消去が確認できれば、ステップS202に進み、ステップS199で仮登録しておいた認証照合データを認証照合データ保持部14に本登録して開錠認証照合データ登録処理を終了する。一方ステップS201において管理パソコン19側での照合データ消去が確認できない場合は、ステップS199に戻って管理パソコン19への消去信号送信からやり直す。
【0145】
以上のように、管理パソコン19から受信した認証照合データを認証照合データ保持部14に本登録することと管理パソコン19で用済みの認証照合データを消去することとはワンセットになっており、マンション入口ロック制御システム側で取得した認証照合データがそのまま残ってプライバシー侵害に悪用されることがないよう配慮している。このことは言い換えれば、管理パソコン19から受信した認証照合データが認証照合データ保持部14に確実に本登録しない限り、マンション入口ロック制御システム側で取得した認証照合データの消去はしないということを意味する。
なお、ステップS197で、マンション入口の開錠のための照合データの新規登録が管理パソコンによって要求されていなければ、直ちに開錠認証照合データ登録処理を終了する。
【0146】
なお、図15のフローでは、まず玄関ドア照合データの新規登録であるかどうかを問い、その後、マンション入口照合データの新規登録であるかどうかを問うているが、この順序は逆でもよい。つまり、ステップS197からステップS202のフローをステップS191の前においてもよい。
【0147】
図1におけるユーザ認証センサ18のための認証照合データを登録する際の制御部12のフローは、図15のステップS191から196と同様である。但し、ステップS191で「玄関ドア」とあるのを「ユーザ認証」と読替え、ステップS193において「家庭用開錠認証センサ」とあるのを「ユーザ認証センサ」と読替える。
また図14の実施例2における携帯電話101の認証照合データ保持部107に認証照合データを登録する際の制御部106の動作フローは、上記のような読替えを行った場合の図15のフローと同じである。
【0148】
図16は、図9のステップS110における開錠認証照合データ登録処理の詳細を示すフローチャートである。フローがスタートすると、ステップS211において、業務用開錠認証センサ21からのセンサ出力の受信を待つ。この出力は、照合データ作成のために本人確認された個人の指を業務用開錠認証センサ21に挿入することによって行われる。
センサ出力の受信があればステップS212に進み、センサ出力に基づく照合データを管理パソコンで保持する。
次にステップS213に進み、業務用開錠認証センサ21に再び指を挿入して同一である旨の照合が正常に行われるかどうかの確認を行う。ステップS213でこのような正常動作の確認ができればステップS214に進み、ステップS212で保持しておいた照合データをAパソコン5に送信する。一方正常動作の確認ができなければ、ステップS211に戻り、指を挿入し直して再度業務用開錠認証センサ21からのセンサ出力を受信し照合データの保持をやり直す。
【0149】
ステップS214において照合データを送信するとステップS215に移行し、管理パソコン側の照合データを消去せよとの旨の信号がAパソコン5から受信されたかどうかをチェックする。この信号の受信は、Aパソコンが照合データを正しく受信したことの確認の意味も持つ。
ステップS215で消去信号を受信するとステップS216に進み、管理パソコン19に保持していた照合データを消去するとともに、ステップS217で消去確認信号をAパソコン5に送信し、認証照合データ登録処理を終了する。一方、ステップS215で消去信号が受信できない場合、ステップS214に戻ってAパソコン5への照合データ送信からやり直す。
【0150】
以上のように、マンション入口ロック制御システムにおける照合データの登録にあたっては、個人のプライバシーを保護するため、最終的な認証照合データの保持はA居室2に任せる。しかしながら、その登録行為については管理を行い、個別に勝手な登録が行われてマンション入口ロックのセキュリティが損なわれるのを防止する。
なお、玄関ドアの開錠管理のために認証照合データの登録を行う場合は、家庭用開錠認証センサ13によって取得した認証照合データがA居室2の外に出ることはないので、その登録処理は簡便となっている。
【0151】
図14の実施例2における携帯電話101の認証照合データ保持部107に認証照合データを登録する際の管理パソコン19の動作フローは、図16と同様である。但し、上記の説明で「Aパソコン5」とあるのを「携帯電話101」と読替える。
【0152】
以上、図15、図16では、マンション入口ロック制御システム8用の認証照合データの登録は業務用開錠認証センサ21によって取得されたデータによって行っている。しかしながら、開錠認証の機能について業務用開錠認証センサ21が家庭用開錠認証センサ13またはユーザ認証センサ111など共通の場合は、家庭用開錠認証センサ13またはユーザ認証センサ111によって取得されたデータに基づいてマンション入口ロック制御システム8用の認証照合データの登録を行うよう構成してもよい。
但し、この場合は偽造を防ぐため、マンション入口ロック制御システム8との間で暗号キーをやり取りするなど、マンション入口ロック制御システム8における管理パソコン19の厳しい管理下でしか登録ができないようにする。
【実施例3】
【0153】
図17は、本発明の生体認証兼健康管理システムの実施例3に関するフローチャートである。実施例3のブロック図は図1と同様なので説明に当たってはこれを流用する。但し、Aパソコン5および管理パソコン19の機能が異なっている。具体的には、実施例1では開錠認証の照合をAパソコン5側で行い、照合結果に基づいてドアロック開錠信号を管理パソコン19に送信していた。これに対し、実施例3では、認証照合データをAパソコン5側から受け取った管理パソコン19自体で開錠認証の照合を行う。以下図17および図18に基づいて、その機能の詳細を説明する。
【0154】
実施例3のAパソコン5における制御部12は、マンション入口ロック制御システム8の制御にあたり、図7ではなく、図17のフローチャートに従って機能する。
マンション入口にの前に人が立ったことを管理パソコン19が検出し、この通知を受けたAパソコン5に認証トリガーがかかると図17のフローがスタートし、ステップS221において、まず玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS222に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS221に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0155】
ステップS222において指の挿入があるとステップS223に進み、認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致するかどうかがチェックされる。この一致確認は、受信した指データがA居室2の住人のものかどうかを確認するためであり、マンション入口のロック開錠のためではない。ステップS223で認証照合データとの一致があればステップS224に進み、管理パソコン19に認証照合データを送信する。以下、マンション入口のロック開錠制御は管理パソコン19に任される。
以上のように、ステップS222における指データの受信のチェックは、生体認証の際に認証照合データ保持部14に保持されている開錠認証照合データを管理パソコン19に送信する旨の要求の検知の意味を持っている。
なお、ステップS224における開錠認証照合データの送信では、これがAパソコンから送られたことを伏せる処置をとり、管理パソコン19側ではどこから開錠認証照合データが送られたかわからないようにする。
【0156】
次いでステップS225に進み、業務用開錠認証センサ19が健康管理データ取得に成功したかどうか、換言すれば、管理パソコンから受信した指データが健康管理データとして充分かどうかがチェックされる。成功しない場合とは、管理パソコン19から受信した指データが開錠照合には充分であるが、健康管理データとするには不十分である場合である。
ステップS225で健康管理データ取得が成功したことが確認されるとステップS226に進み、取得したデータを個人健康データベース15に蓄積する。個人健康データベース15に蓄積されたデータは医療機関9との契約により、ステップS226の段階でリアルタイムに大型コンピュータ22にも送信され、総合健康データベースに27にも蓄積される。これによって、個人健康データベースの内容がバックアップされるとともに、引越し等への対応も可能となる。
【0157】
また、このような個人健康データベース15のデータをリアルタイムで医療機関9に送信する契約は、例えば独居老人のケアシステムとしても機能する。健康管理データの取得はドアの出入りと連動して自動的に行われるので、健康データベース15の情報が医療機関9に何も送信されない日が続くということは、その期間ドアの出入りがなかったことを意味する。従って、このような場合、独居老人になんらかの事故があったと考えられるので医療機関9は即座にその対応をとる。
【0158】
次いで、ステップS227において、健康照合データ保持部16に照合データがあるかどうかをチェックし、データがあればステップS228に進んで、取得したデータとの照合処理を行う。そしてステップS229に進み、照合の結果健康管理データに異常があるかどうかをチェックする。異常があればステップS230に進み、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備し、ステップS231に進む。ステップS229において異常がなければ、直接ステップS231に進む。
【0159】
ステップS231では、ステップS228の照合結果を個人健康データベースに蓄積する。個人健康データベース15に蓄積された照合結果のデータについても、医療機関9との契約により、ステップS231の段階でリアルタイムに大型コンピュータ22に送信され、総合健康データベースに27にも蓄積される。ステップS229で異常を検出した旨の情報も同時に大型コンピュータ22に送信され、総合健康データベースに27に蓄積される。
以上の処理を経てステップS232に至り、玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックを再度行い、所定時間経過していればステップS233に進む。ステップS232の意味は図7のステップS72と同様である。
なお、ステップS227において、健康照合データ保持部16に照合データがなければ、照合関連の処理は不要なので、直接ステップS232に進む。
ステップS233では、ステップS224で管理パソコン19に送信した開錠認証照合データを消去した旨の管理パソコン19からの報告を待ち、報告があればマンション入口開錠処理を終了する。ステップS233の意味は管理パソコン19に開錠認証照合データが残り、プライバシーが侵害されるのを防止することにある。
【0160】
一方、ステップS225において、健康管理データの取得に失敗した場合は、ステップS234においてデータ取得失敗の旨の表示およびステップS235においてその理由の表示をし、ステップS232に至る。
また、ステップS221において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合は直ちにマンション入口開錠処理を終了する。
【0161】
さらに、ステップS223において開錠認証照合データが認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致しない場合は、受信した指データがA居室2の住人のものではないので、直ちにマンション入口開錠処理を終了する。換言すれば、指データは赤の他人のものなので、当然ながらステップS225以降の健康管理データとしての取り扱いは行わない。また、マンション入口開錠そのものは管理パソコン19に任されるので、開錠認証照合データ不一致の旨を管理パソコン19に通知することもない。
【0162】
実施例3の管理パソコン19における制御部53(図3参照)は、マンション入口ロック制御システム8の制御にあたり、図10ではなく、図18のフローチャートに従って機能する。
図18において、マンション入口にの前に人が立ったことを管理パソコン19が検出し、認証トリガーがかかるとフローがスタートし、ステップS241において、まずマンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS242に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS241に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0163】
ステップS242において指の挿入があって生体情報が取得できるとステップS243に進み、マンション入口ロック制御システムに加入している全居室に取得データを送信する。次いで、ステップS244において、いずれかの居室から開錠認証照合データを受信したかどうかチェックする。いずれかの居室から開錠認証照合データを受信すればステップS245に進む。
【0164】
実施例3では開錠認証の照合は管理パソコン19側で行うので、ステップS245では、ステップS244で受信した開錠認証照合データと業務用開錠認証センサ21が取得した指データとの照合を行い両者が一致するかどうかをチェックする。そして、両者が一致していればステップS246に進む。
【0165】
ステップS246では、いずれかの居室から健康管理データ取得失敗の旨の通知が入信されたかどうかチェックする。
ステップS246で健康管理データ取得失敗の旨の通知がいずれの居室からも受信されないことが確認されるとステップS247に進み、入口ロック20に開錠を指示する。入口ロック20はその指示に応じて開錠を実行する。
以上のステップS244およびステップS246における居室から管理パソコンへの開錠認証照合データの送信および健康管理データ所得失敗の送信においては、これらの送信がいずれの居室から行われたか管理パソコン19側ではわからないようにし、プライバシー保護に配慮する。
【0166】
入口ロック20開錠指示後、ステップS248に進み、ステップS242で取得した生体情報を消去する。これは、プライバシー保護の万全を期するためである。その後ステップS249に進み、再度マンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間が経過していれば、ステップS250に進み、ステップS244で居室のいずれかから受信した開錠認証照合データを消去するとともに、その旨全居室に報告してマンション入口開錠処理を終了する。
【0167】
一方、ステップS246において、健康管理データの取得に失敗した旨の通知を受信したことが確認された場合は、ステップS251においてデータ取得失敗の旨の表示を行うとともに、ステップS252においてその理由の表示をし、ステップS247に至る。このように、健康管理データの取得に失敗した場合であっても、ステップS245で開錠印象照合結果が一致していれば、入口ロック開錠の指示を行う。
【0168】
ステップS241において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS253に移行し、入館拒否表示を行う。次いで、ステップS254において指が挿入されていない旨の拒否理由の表示を行った後、ステップS255に進む。
ステップS255では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS247に移行して入口ロック開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS248からステップS250を経て開錠処理を終了するので、入口ロック20の開錠は行われない。なおこの場合、元々消去すべき生体情報の取得がないのでステップS248では実質的になにもしないのと同様の処理となるが、次にのべる事情および想定外の事故に対応して確実に消去を実行し、プライバシーを保護するため、ステップS248をこの位置に置いている。
【0169】
生体情報を得ている場合であって、ステップS244においていずれの居室からも開錠認証照合データを受信しない場合も、ステップS253に移行し、入館拒否表示を行とともに、ステップS254において入室拒否表示の理由表示を行う。
同様に、ステップS245において開錠認証照合データの照合結果が一致しない場合も、ステップS253に移行し、入館拒否表示を行とともに、ステップS254において入室拒否表示の理由表示を行う。
これらの場合も、その後、ステップS255に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS247に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS248に進み、ステップS242で取得した生体情報を消去する。このように、認証ができなかった場合であっても取得した生体情報は消去し、プライバシーの保護を万全とする。
この場合、次のステップS249に進んで所定時間が経過していなければステップS241を経てステップS242に戻るので、指の挿入が不適切であった場合、ステップS254の理由表示を参考に指の挿入をやり直せばステップS243からステップS243に進むことも可能となる。
【0170】
以上、いずれの場合であっても、ステップS249を経由してステップS250に至るが、ステップS241またはステップS244を経由してステップS253に至っていた場合は受信した開錠認証照合データはないので、ステップS250では実質的に何も行われないのと等しい結果となる。しかし、プライバシー保護は重要な問題なので、想定外の事故にも備えるため、いずれの場合もマンション入口開錠処理を終了する前に必ず開錠認証照合データを消去するステップを通るようにしている。
【実施例4】
【0171】
実施例4は、図14の携帯電話101を利用した実施例において、実施例3のように、管理パソコン19側で開錠認証の照合を行うよう構成したものである。実施例4のブロック図は図14と同様であるのでこれを流用する。また、携帯電話101における制御部106の機能および管理パソコン19における制御部53の機能は、それぞれ図17および図18とほぼ共通なのでこれを流用するとともに大半の説明は省略し、異なっている部分のみコメントする。
【0172】
実施例4では、図17のステップS223を省略することが可能である。つまり、実施例3では送信されてくる指データが他の居室に居住する無関係の人のものである可能性があり、その場合は開錠認証照合データを送信する必要がないので、ステップS223でその確認を行っていた。これに対し、実施例4の場合、管理パソコン19から携帯電話101に送信される指データは現にマンション入口に立って業務用開錠認証センサに指を入れた本人のものなので、すぐステップS224に移行して開錠人諸照合データを送信してよいからである。
また、実施例4では、実施例2と同様、図17のステップS230におけるテレビ警告準備の代わりに、携帯電話101の表示部110での警告の準備を行う。これによって、その後表示部110がオンとなったとき自動的に「健康異常」の警告が行われる。
【0173】
図18の管理パソコンのフローにおいても、実施例4では、実施例2と同様、ステップS243における全居室への取得データ送信の代わりに、携帯電話101のC近距離無線通信部105へのデータ送信を行う。
さらに、ステップS242とステップS243の間に「健康管理データ供給契約ユーザ?」を問うステップを挿入し、契約ユーザのときにステップS243に進むとともに、契約ユーザでなければ「開錠認証照合データ送信要求」のステップを経てステップS244に進むようにする。このように実施例4の場合、管理パソコン19は相手の携帯電話との契約に従って指データを送信するかどうかの決定を行う。
なお、健康管理データ供給契約ユーザでない携帯電話における処理は非常に簡単なので、図17を流用して異なる点のみコメントする。まず、ステップS222は「開錠認証照合データ送信要求?」と読代える。そして、ステップS223、ステップS225からステップS231、ステップS234、およびステップS235を省略する。つまり、契約ユーザでない携帯電話では、開錠認証照合データの送信とその消去報告の確認のみが行われる。
【0174】
次に、センサチェック処理の詳細について説明する。これは、上記の実施例1から実施例4まで共通なので、実施例1を例にとって説明する。
図19は図4のステップS12におけるセンサチェック処理の詳細を示すものであり、フローがスタートするとステップS261で、家庭用開錠認証センサ13に変更があったかどうかをチェックする。変更があった場合、ステップS262に進み、まず、家庭用開錠認証センサ13に指が挿入されていない状態での出力信号を取得する。次いでステップS263でテスト的に指が挿入されるのを待ち、指挿入があってその状態での信号が取得されるとステップS264に進む。
ステップS264では、基本信号に異常がないかどうかをチェックしており、具体的には、指を入れない状態での出力をベースにしたときに指を入れた状態で所定の出力が得られるかをチェックする。もし異常があればステップS265において基本調整処理を行い、ステップS266に移行する。異常がなければ直接ステップS266に移行する。
【0175】
ステップS266ではクロスチェック信号の送信が行われる。具体的には、共通の生体情報取得項目について、指を入れない状態において家庭用開錠認証センサ13と業務用開錠認証センサ21にチェック信号を送り、業務用開錠認証センサ21の応答信号をベースにしたときに家庭用開錠センサ13から所定の出力が得られるかをチェックする。もしこのようなクロスチェックの結果に異常があればステップS268において業務用開錠認証センサ21を基準に家庭用開錠センサ13の出力が所定の範囲になるようクロス調整処理を行い、ステップS269に移行する。異常がなければ直接ステップS269に移行する。なお、ステップS261において家庭用開錠認証センサに変更がなければ直接ステップS269に移行する。
【0176】
ステップS269では、前回の定期チェック後所定時間が経過して定期チェックの時期に来ているかどうかを確認する。なおこの定期チェックは短時間間隔で頻繁に行ってもよい。ステップS269で定期チェック時期に来ていると判断された場合、ステップS270で所定の定期チェックを行う。具体的にはステップS266と同様、指を入れない状態において家庭用開錠認証センサ13と業務用開錠認証センサ21にチェック信号を送り、その結果を見る。そして定期チェックの結果に異常があればステップS271に移行して定期調整処理を行い、ステップS272に移行する。異常がなければ直接ステップS272に移行する。なお、ステップS269においてまだ定期チェック時期ではないと判断された場合も直接ステップS272に移行する。
【0177】
ステップS272では、ステップS265、ステップS268、およびステップS271において必要に応じ行われた自動調整処理がすべて成功したかどうかを確認し、自動調整処理ができなかった場合はステップS273に移行してその旨のテレビでの警告を準備する。ステップS273におけるテレビ警告のやり方は、図7のステップS70と同様なのでこれに関して先に行った説明はステップS273においても流用することとし、ここでは繰り返さない。
【0178】
図9のステップS111における管理パソコン19によるセンサチェック処理の詳細は基本的には図19と同様である。但し、ステップS266からステップS268におけるクロスチェックは省略される。因みに、ステップS270からステップS271における定期チェックは業務用開錠認証センサ21のみを対照に実施する。また、ステップS273のテレビ警告に代え、自動調整処理ができなかったときは管理パソコン19のモニタでその旨警告する。
以上のように、業務用開錠認証センサ21のチェックおよび調整は管理パソコン19が行い、その結果を信頼することを前提に、Aパソコン5による図19のステップS266からステップS268におけるクロスチェックでは、業務用開錠認証センサ21を基準に家庭用開錠認証センサ13のチェックおよび調整を行う。
【0179】
次に、蓄積データ照合処理の詳細について説明する。これは、上記の実施例1から実施例4まで共通なので、実施例1を例にとって説明する。
図20は図8のステップS84における蓄積データ照合処理の詳細を示すものであり、フローがスタートするとステップS281で、組合せ可能な異種の複数の生体認証センサ情報が蓄積されているかどうかをチェックし、蓄積されていればステップS282でこれらを組み合わせて照合する準備をしてステップS283に移行する。組合せ可能な情報が蓄積されていなければ直接ステップS283に移行する。
組合せ可能な生体認証センサ情報とは例えば、血管センサ情報、眼底センサ情報、声紋センサ情報などであり、あわせて健康管理情報の取得も可能なセンサ情報である。複数の生体認証センサ情報の組合せは、生体認証のエラーを減少させるとともに、より高度の健康管理を実現する意義がある。
【0180】
ステップS283では、それ自身生体認証のための情報は持たないが、生体認証データを取得する生体自身の条件に関する情報が蓄積されているかどうかをチェックし、蓄積されていればステップS284でこれらを組み合わせて照合する準備をしてステップS285に移行する。生体条件の情報が蓄積されていなければ直接ステップS285に移行する。生体認証データを取得する時点での生体条件の情報としては例えば、体温、血圧、脈拍数などの情報がある。
【0181】
なお、生体認証データを取得する生体自身の条件に関する情報としては、上記のものの他、次のようなものが有用である。
まず、実施例2の携帯電話101のように、本人健康データベース109が常に持ち歩かれる場合、携帯電話101に歩数系を設ければ、生体認証データを取得する時点での生体自身の条件だけでなく、生体認証データを取得する時点までの運動量の履歴も本人健康データベース109に蓄積することができる。このような場合、例えば生体認証データを取得する時点での脈拍数が同じであっても、それが過去一ヶ月間ウオーキングを続けてきた結果なのかそれとも特に運動に努めなかった結果なのかで健康照合データとの照合や健康判断が異なって来る。このように生体認証データを取得する生体自身の条件については、生体自身の運動負荷の履歴などの情報も有用である。
また、生体認証データを取得する生体自身の条件としては、本人だけでなく家族の病歴などに関する情報も有用である。例えば、生体認証データを取得する時点での本人の血圧が同じであっても、親や祖父母などの高血圧病歴がある人とない人では、危険因子が異なり、健康照合データとの照合や健康判断が異なって来るからである。
医療機関9における健康照合データ登録にあたっては、健康照合ソフト24または医師25の判断により上記の種々に因子が加味され、このようにして登録された健康照合データがどのようなものであるかによって、要求される照合の仕方も異なってくる。
【0182】
ステップS285では、生体認証データや生体自身の条件を取得する際の外部の条件に関する情報が蓄積されているかどうかをチェックし、蓄積されていればステップS286でこれらを組み合わせて照合する準備をしてステップS287に移行する。外部条件の情報が蓄積されていなければ直接ステップS287に移行する。
外部条件の情報とは図3の外部条件センサ57によって取得される情報であって、例えば気温、湿度、風速などの気象条件である。
【0183】
ステップS287では、生体認証データ、生体自身の条件、外部条件を取得した時刻の情報が蓄積されているかどうかをチェックする。蓄積されていればステップS288において異なる日付の同時刻における生体認証データ、生体自身の条件、外部条件を抽出し、同時刻同士の情報を照合する準備をする。特に開錠センサにより健康管理データを取得した場合、出勤時刻などに合わせて規則正しいデータが日々抜けなく蓄積されるのでデータ収集の効率が高い。
さらに、ステップS289においては、同じ日の時刻情報に基づき、生体認証データ、生体自身の条件、外部条件が朝から昼、そして夜への日周変化に応じてどのように変わるかを照合する。
ステップS288およびステップS289の処理を終わると、ステップS290に移行する。時刻情報が蓄積されていなければ、直接ステップS290に移行する。
【0184】
ステップS290では、生体認証データ、生体自身の条件、外部条件を取得した日付の情報が所定期間分蓄積されているかどうかをチェックする。蓄積されていればステップS291において大きな季節変化に応じて生体認証データ、生体自身の条件、外部条件がどのように変化するかを照合する準備をし、ステップS292に移行する。春夏秋冬の季節の流れの中で生体情報もこれに影響されて変化する可能性があるので、ステップS291によってその因果関係を把握することが可能となる。日付情報が意味のある照合に充分な期間分蓄積されていなければ、直接ステップS292に移行する。
【0185】
ステップS292では、生体認証データ、生体自身の条件、外部条件の経時変化を見る場合において、前回の経時変化照合以降、所定の蓄積期間分蓄積されているかどうかチェックする。蓄積されていればステップS293において生体認証データおよび生体自身の条件の経時変化を照合する準備をし、ステップS294に移行する。経時変化のチェックは特に変化の早さに意味があり、病状の急変の発見にもつながる意義がある。経時変化を見るのに意味のある期間のデータの蓄積がなければ、直接ステップS294に移行する。
【0186】
ステップS295では、ステップS282、ステップS284、ステップS286、ステップS288、ステップS289、ステップS291、およびステップS293における準備に基づき、得られた生体情報同士の照合、対応する健康照合データとの照合、およびそれらの組合せとして実行する。
【0187】
図21は、実施例1から実施例4において共通に実施できる玄関ドアの詳細模式図である。図21において玄関ドア10はその断面が図示されており、玄関ドア10の左側がA居室外側、右側がA居室内側である。また、玄関ドアに関連するその他の構成は、図1のドアロック11、家庭用開錠認証センサ13、および入室拒否、健康データ取得失敗などの報知部にほぼ対応している。
各構成を具体的に説明すると、まず、玄関ドア10の外側には電子ペーパーなどからなる電子表札201が配置されている。この電子表札201は、通常は表札を表示しているが、玄関ドア10の内側に配置された回路部202を通じたAパソコン5の制御を受けており、必要に応じ入室拒否表示、健康データ取得失敗表示などを行う報知部を兼ねている。
回路部202は、共通光源部203および共通受光部204とともに家庭用開錠認証センサ13を構成しており、Aパソコン5の制御を受ける。また、ノブ/ロック機構205は回路部202とともにドアロック11を構成しており、Aパソコン5の制御を受ける。
なお回路部202から出ている各制御ラインは、図21では模式的に玄関ドアの内側に露出しているように図示しているが、実際には玄関ドア10の内部に配線される。
【0188】
ノブ/ロック機構205は、玄関ドア10の開閉の際に操作するドアノブとロック機構を備えたもので、玄関ドア10の外側および内側のいずれからも操作可能となっている。なお、ノブ/ロック機構205は、外側からはロックが開錠されない限りドアノブを操作しても玄関ドア10を開けることができないが、内側からはドアノブを操作すれば玄関ドア10を開けることができるよう構成される。
共通光源部203および共通受光部204は玄関ドア10の外側および内側で生体情報を取得するとることができるように構成されており、ノブ/ロック機構205を挟んで配置されている。これによって玄関ドア10の外側および内側のいずれからノブ/ロック機構205を操作する場合でも、その操作に伴って指が自然に共通光源部203および共通受光部204の間に入り、生体情報が取得できるようになっている。
【0189】
そして、玄関ドア10の外側からノブ/ロック機構205を操作した場合、その操作に伴って生体情報が取得され、これが認証されて正当な住人であることが確認されるとドアロックが自動開錠されるので、そのままドアを開けることができる。この一連の処理は高速で行われるので、正当な住人の場合、ノブ/ロック機構205の操作により何の抵抗もなく玄関ドア10が開くような感覚でA居室2に入ることができる。
なお、玄関ドア10の内側からノブ/ロック機構205を操作した場合は、生体認証なしにロックが開錠されるので生体認証の必要はないが、玄関ドア10を出る際にも健康データを取得する目的で、玄関ドア10の内側でも生体情報を取得することができるように構成している。これは、特に朝の出勤時などに規則正しく健康管理データを取得するためである。
【0190】
次に共通光源部203と共通受光部204の構成の詳細について説明する。共通光源部203の光源206は玄関ドア10の内側に配置されており、生体情報取得のための光を内側のドアノブに向けて照射する。一方、光源206の光は玄関ドア10の外側に向けても照射され、これが導光部207によって下方に屈曲されて外側のドアノブに向けて照射される。以上の構成によって、玄関ドア10の外側に光源206を配置することなく、生体情報取得のための光を外側のドアノブに向けて照射することができる。
共通光源部204のセンサ208は玄関ドア10の内側に配置されており、光源206から照射されて内側のドアノブを操作する指を透過した光を受光することができる。一方、導光部207から照射されて外側のドアノブを操作する指を透過した光は、導光部209に入射するとともに玄関ドア10の内側に向けて屈曲され、これがセンサ208により受光される。以上の構成によって、玄関ドア10の外側にセンサ208を配置することなく、玄関ドア10の外部で取得された生体情報取得のための光を受光することができる。
【0191】
以上の共通光源部203および共通受光部204の構成は、既に述べたように共通の光源206とセンサ208によって玄関ドア10の内側および外側の両方で生体情報を取得することができる利点があるが、他にも利点がある。
つまり、光源206とセンサ208が回路部202とともに玄関ドア10の内側に設けられる構成は、比較的高価なこれらの部品が、気候の変化やいたずらなどによって外部から損傷をうけることを防止できる利点がある。このように、導光部207および導光部209は、図3の保護ユニット52としての意味もある。図3の保護ユニット52と同様、導光部207および導光部209も光源206やセンサ208と独立に交換や調整ができるよう構成される。
なお、生体認証センサにおいて、ドアの外側に露出する部分を極力減らし、構成の主要部をドアの内側に設けることによる上記の利点は、図21においてドアの内側で生体認証する機能を省略する場合でも同様に享受できるものである。
【0192】
生体認証センサは外部環境に曝されるので光源部の光照射口やセンサの受光口に付着する汚れやゴミ、また検出光路を妨害する異物の挿入によって検出が不可能になったり検出性能が劣化したりする問題がある。これに対しては、光照射口、受光口、検出光路の清掃などのメンテナンスで対応する必要がある。
図21では、生体認証を求める際にノブ/ロック機構205を機械的に操作するので、光照射口と受光口に機械的なワイパーを設けておき、ノブ/ロック機構205の操作に連動してこれらのワイパーを作動させるようにする。また、検出光路の妨害異物の除去については、ドアノブを操作する指が光路を横切って挿入されるので、指自体によって除去される。
なお、上記のような人力による清掃に代え、ワイパーを定期的に電動で動作させることも可能である。
【実施例5】
【0193】
図22は、実施例5における個人認証データおよび健康管理データのデータ構造図である。実施例1から実施例4においては、個人認証データおよび健康管理データが、健康照合データ保持部、個人または本人健康データベース、認証照合データ保持部などに分かれて保持される姿を示したが、実施例5ではこれらのデータが統一したデータ形式に従って保持される。図22はそのデータ形式のデータ構造図を示したものであって、実施例1から実施例4は、このような実施例5によるデータ保持のしかたで実施することが可能である。
【0194】
実施例5の統一データ形式では、基本的には各データが一つの統合されたデータファイルとして管理される。統一データファイルは図22に示すように、個人認証データ301、健康管理データ302、参考条件データ303、医療機関管理データ304に分かれているが、共通の関連付けコード305、306、307、308によって全体的に一つのファイルのように関連付けられている。
【0195】
実施例5の統一データ形式では、基本的には各データが一つの統合されたデータファイルにまとめられて管理される。統一データファイルは、図22に示すように、個人認証データファイル301、健康管理データファイル302、参考条件データファイル303、医療機関管理データファイル304に分かれており、必要に応じそれぞれ独立したファイルとして扱うこともできるが、共通の関連付けコード305、306、307、308によって通常は全体的に一つのファイルとして扱うことができるよう関連付けられている。
ファイル内の各データへのアクセス権は目的に応じ異なっているがそれについては以下で詳述する。
【0196】
個人認証データファイル301には、氏名、住所、電話番号など個人を特定するための基本データ309、性別、生年月日などその他の個人属性が含まれる個人属性データ310、各居室の玄関ドア照合データなどのローカル生体認証照合データ311、およびマンション入口照合データなどの共用生体認証照合データ312などが含まれる。
共用生体認証照合データ312以外は使用者本人による登録ができるが、共用生体認証照合データ312は、マンション入口ロック制御システム8の管理パソコン19など共用システムの管理下でしか登録できない。また、ローカル生体認証照合データ311、共用生体認証照合データ312については医療機関9からのアクセスはできない。
なお、認証照合の際に共用生体認証照合データ312がマンション入口ロック制御システム8などに送信されるときは、氏名、住所、電話番号など個人を特定するための基本データ309、性別、生年月日などその他の個人属性が含まれる個人属性データ310、各居室の玄関ドア照合データなどのローカル生体認証照合データ311については一切伏せられ、共用生体認証照合データ312が誰のものなのかわからないようにされる。
【0197】
健康管理データファイル302には、日付時刻つきで取得した健康管理データを格納する日付時刻つき個人健康データベース313、データ取得時生体条件データベース314データ取得時外部条件データベース、315、および照合結果データベース316がなど含まれる。
これらの健康管理データに関しては、マンション入口ロック制御システム8などの生体認証を目的とするシステムはアクセスすることができない。なお、本人がこれらのデータを利用するときは、ローカル生体認証照合データ311との照合結果が一致した場合のみアクセスが可能となるので、他人が見ることはできない。
【0198】
参考条件データファイル303には、歩数系によるウオーキング実施状況などの健康維持活動履歴データ317、家族病歴データ318などが含まれる。
これらのデータも個人の健康管理が目的なので、マンション入口ロック制御システム8などの生体認証を目的とするシステムはアクセスすることができない。これらの参考条件データについても、プライバシーを守るため、本人が利用するときは、ローカル生体認証照合データ311との照合結果が一致した場合のみアクセスが可能となる。
【0199】
医療機関管理データファイル304には、医療機関9の管理下で取り扱うべきデータがまとめられている。医療機関9は生体認証に関するローカル生体認証照合データ311や共用生体認証照合データ312に関与しないし、本人でもないので、これらのデータによって健康管理データにアクセスすることもできない。従って、本人の了解の下に健康管理用暗証番号319を決めておき、これを医療機関管理データファイル304に保持させる。従って、医師などが健康管理データにアクセスするときはこの健康管理用暗証番号を入力する。
医療機関管理データファイル304には、さらに、医療機関IDコード320、健康照合データ321、医師診断データが含まれる。これらのデータは医療機関9によって管理され、本人といえども勝手に書き換えることはできない。
また、健康照合データ321は登録後Aパソコンや携帯電話に提供されるが、医師診断データ322は基本的には告知の問題もあるので所定の手続きを経なければ本人のアクセスはできない。
【産業上の利用可能性】
【0200】
本発明は、生体認証システムに適用することができる。
【符号の説明】
【0201】
8 第一部分
5、101 第二部分
19 管理部
20 利用部
14、107 保持部
21 情報取得部
19 第一伝達部
5 第二伝達部
51、52 交換可能な情報取得部
【技術分野】
【0001】
本発明は、個人認証システムに関し、特に生体情報に基づいて個人認証を行う生体認システムに関するものである。
【背景技術】
【0002】
この分野においては、個人認証の際のなりすましの防止、および認証の簡便性のために種々の生体認証システムが提案されている。また、認証のために取得される生体情報を健康管理に利用することも提案されている。
【0003】
しかし、一方で生体情報は重要な個人情報なのでこれを用いて個人認証を行う場合、プライバシー侵害の問題が生じる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−344375号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明が解決しようとする課題は、個人認証のセキュリティを高めると同時に、プライバシーの保護にも配慮した生体認証システムを提供することにある。
【課題を解決するための手段】
【0006】
上記の課題を解決するため、本発明は、生体認証結果を利用する利用部のある第一部分には、認証に必要な照合用生体情報の登録を管理する管理部を設けるとともに、第一部分とは別の第二部分には、第一部分の管理部の管理下で登録された照合用生体情報を保持する保持部を設けることを特徴とする生体認証システムを提供する。これによって第二部分において照合用生体情報が不正に登録されることを防止するとともに、個人情報である照合用生体情報が第二部分経由で流出することを防止する。
本発明の具体的な特徴によれば、第一部分に情報取得部を設けて照合用生体情報を取得するとともに、これを第二部分に伝達して保持部に保持させ、第一部分自身からは取得した照合用生体情報を消去する。
本発明のさらに具体的な特徴によれば、生体認証が求めら得た際に、第二部分の保持部に保持された照合用生体情報に関連する情報が前記第一部分に伝達する。
例えば、認証用の生体情報と照合用生体情報とを照合する照合部を第二部分に設け、その照合結果を、照合用生体情報に関連する情報として第一部分に伝達して利用させる。
また、別のやり方として、認証が求められた際に、照合用生体情報そのものを第一部分に伝達し、第一部分で取得した認証用の生体情報と第二部分から伝達された照合用生体情報とを照合する照合部を第一部分に設ける。
本発明の他の特徴によれば、生体認証結果を利用する利用部とは別に交換可能なように生体情報取得部を設けるとともに、この情報取得部が正常に動作するかどうか確認する確認部を設ける。これによって長期間にわたって生体情報が取得できる現実的なシステムを成り立たせる。
【発明の効果】
【0007】
上記のように、本発明によれば、個人認証のセキュリティを高めると同時に、プライバシーの保護にも配慮した生体認証システムを提供することができる。
【図面の簡単な説明】
【0008】
【図1】生体認証兼健康管理システムのブロック図を示した図面代用写真である。(実施例1)
【図2】血管センサシステムのブロック図を示した図面代用写真である。(実施例1)
【図3】開錠認証センサの詳細構成のブロックを示した図面代用写真である。(実施例1)
【図4】居室内パソコンの基本フローチャートを示した図面代用写真である。(実施例1)
【図5】図4のステップS12の詳細フローチャートを示した図面代用写真である。(実施例1)
【図6】居室ドアにて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例1)
【図7】マンション入口にて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例1)
【図8】図6のステップS47または図7のステップS68の詳細フローチャートを示した図面代用写真である。(実施例1)
【図9】マンション側管理パソコンの基本フローチャートを示した図面代用写真である。(実施例1)
【図10】マンション入口にて認証トリガーがかかった場合のマンション側管理パソコンフローチャートを示した図面代用写真である。(実施例1)
【図11】医療機関側コンピュータの基本フローチャートを示した図面代用写真である。(実施例1)
【図12】医療機関側コンピュータの送信処理フローチャートを示した図面代用写真である。(実施例1)
【図13】図11のステップS134の詳細フローチャートを示した図面代用写真である。(実施例1)
【図14】生体認証兼健康管理システムのブロック図を示した図面代用写真である。(実施例2)
【図15】図4のステップS11の詳細フローチャートを示した図面代用写真である。(実施例1)
【図16】図9のステップS110の詳細フローチャートを示した図面代用写真である。(実施例1)
【図17】マンション入口にて認証トリガーがかかった場合の居室内パソコンフローチャートを示した図面代用写真である。(実施例3)
【図18】マンション入口にて認証トリガーがかかった場合のマンション側管理パソコンフローチャートを示した図面代用写真である。(実施例3)
【図19】図4のステップS12の詳細フローチャートを示した図面代用写真である。(実施例1)
【図20】図8のステップS84の詳細フローチャートを示した図面代用写真である。(実施例1)
【図21】玄関ドアの詳細模式図を示した図面代用写真である。(実施例1〜4)
【図22】個人認証データおよび健康管理データのデータ構造図を示した図面代用写真である。(実施例5)
【発明を実施するための形態】
【実施例1】
【0009】
本発明は、多数の家族が入居するマンションや多数の組織が雑居するビルなど、複数の人間が出入りする共通の入口のロック制御システムを第一部分として実施するのに好適である。また、銀行の個人認証システムを第一部分として実施するのにも適している。
一方、第二部分は、共通の入口を出入りする特定の人間によって管理される各居室などとして実施するのが好適である。また、第二部分を個人が管理する携帯電話として実施するのにも適している。
【0010】
図1は、本発明の生体認証兼健康管理システムの実施例1のブロック図であり、複数の家族が入居しているマンションにおける実施を例示している。
マンション1には複数の家庭が入居しているが、図1では、A家族が入居しているA居室2、B家族が入居しているB居室3、およびC家族が入居しているC居室4のみ図示し、他の居室は省略している。A居室2内のシステムはAパソコン5が制御しているが、居室内の構成については後述する。なお、B居室3およびC居室4はそれぞれA居室2と同様の構成をもつが、それぞれの居室内のシステムを制御しているBパソコン6およびCパソコン7を除いて図示を省略し、その説明も重複を避けるために省略する。
また、実施例1のシステムにおいて、各居室2、3、4はマンション入口ロック制御システム8および医療機関9とも連携しており、その詳細については後述する。
なお、以後の説明において、居室内の制御手段はAパソコン5のようなパソコンとするが、本発明の実施に当たっては、汎用のパソコンに代えてシステム専用に居室に備えられたコンピュータを用いてもよく、その他同等の機能を有するものであれば、種々の制御手段を用いることが可能である。
【0011】
A居室2において、玄関ドア10にはドアロック11が設けられているが、玄関ドア10を閉じる度にオートロックされ、外部からの開錠の可否の制御はAパソコン5が行っている。Aパソコン5の制御部12は、玄関ドア10の開錠を望む人の生体認証を行う家庭用開錠認証センサ13からの情報を受け、これを認証照合データ保持部14にあらかじめ登録しておいた認証照合データと照合する。そして、照合の結果、A居室にへの入室資格がある人であることが認証されるとドアロック11に開錠信号を送る。
家庭用開錠認証センサ13は、所定位置に挿入された人の指の血管の情報を光学的に検出する血管センサを持っている。この血管センサから得られる血液の情報を受けた制御部12はそこから血管パターンを抽出し、これが認証照合データ保持部14に登録された家族内の誰かの血管パターンと同一であるかどうか判定する。そして、同一であれば入室資格のある家族の一員であると認証してドアロック11に開錠信号を送る。
【0012】
家庭用開錠認証センサ13によって検出された指の血管の情報には、血管パターンだけでなく、人の指における血液の脈動をしめす脈波の情報も含まれている。制御部12は、この脈波信号から例えば酸素飽和度などの血液の成分情報や血管の若さの情報を得る。この血液の成分情報や血管の若さなどの情報は個人の健康管理データとなるので、制御部12はこれらの情報を認証できた個人別に個人健康データベース15に送って蓄積させる。
【0013】
制御部12はさらに血液の成分情報や血管の若さなどの健康管理データを健康照合データ保持部16に登録されている個人別の健康照合データと照合する。健康照合データ保持部16には、健康指標となる値そのものだけでなく、その値の経時変化についての照合用経時変化データも登録されている。従って、制御部12は、家庭用開錠認証センサ13から送られてくるその時々の健康管理データを健康照合データと照合するとともに、個人健康データベース15に蓄積されたデータに基づく健康指標の経時変化を健康照合データ保持部16に登録された照合用経時変化データと比較し、健康指標となる値の経時変化の速さなどの観点からも照合を行う。健康指標の値の照合結果および健康指標の経時変化の照合結果は、テレビ17に表示される。この表示については、例えば照合の結果、異常と認められるときにはテレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるようにする。
なお、健康照合結果の表示については、家族といえどもプライバシーがあるので、各家族構成員が持っている携帯電話に個別にその情報を送るよう構成してもよい。この場合、自分の携帯電話の表示部を見ることによって、例えば入室の度毎に健康状態を自分だけで確認できる。携帯電話を利用した実施については、後出の実施例2でも詳述する。
【0014】
以上のように、本発明の家庭用開錠認証センサ13は、ドアロック開錠のための生体個人認証と健康管理データ取得の二重の機能を持っている。従って、通常は、この両者に成功したとき、Aパソコン5はドアロック11に開錠信号を送る。
ただ、本来はドアロック開錠のための個人認証ができれば入室管理という当座の目的は達成できるので、個人認証には成功したが健康管理データ取得の観点からは充分な情報が取得できなかった場合であっても、Aパソコン5はドアロック11に開錠信号を送る。しかし利用者はドアロック開錠の際に同時に健康管理データの取得もできていることを期待しているので、この場合は玄関ドア10において健康管理データ取得失敗の旨とその原因について警告表示を行う。この警告を見た利用者は、健康管理データの取得を重視する場合には、再度家庭用開錠承認センサ13に指を挿入してチェックを行うことができるし、急いでいるときは、失敗の原因だけを理解してとりあえずA居室5に入室し、次回の入室時からは失敗の原因を除去するよう指の挿入の仕方を改めるよう心がける。
【0015】
家庭用開錠認証センサ13には、血管情報を光学的に検出する血管センサの代わりに、人の眼を撮影することによって眼底情報を得るセンサを採用してもよい。眼底情報も、網膜パターンが生体認証データとなるとともに眼底画像が健康情報を持っているので、上記において指の血管情報について説明したのと同様、ドア開錠のための生体認証とその人の健康管理を同時に行うことができる。また、声紋センサも生体認証データと健康管理情報の取得が可能なので家庭用開錠認証センサ13に採用できる。さらに声紋センサの場合、合わせて吐息成分のセンサを設ければ、アルコール濃度のチェックもでき、飲酒と健康状態との因果関係のチェックも行うことができる。
家庭用開錠認証センサ13としては、以上例示したものに限らず、生体認証とその人の健康管理のデータを同時に得ることができる種々のセンサが採用可能である。例えば、非接触のタイプには限らず皮膚に接触するタイプのものが可能であり、光や音を利用するものに限らず微弱な電流を生体に流してその反応信号を検出するものも可能である。また、いずれかのセンサを単独で採用するのだけではなく、複数のセンサを組み合わせて生体認証の精度を上げるとともに健康管理データをより豊富に得ることもできる。
【0016】
さらに、それぞれ生体認証とその人の健康管理のデータを同時に得ることができるセンサ同士を組み合わせる場合だけでなく、このような両機能を持つセンサと単に生体認証または健康管理のいずれか一方のデータのみが得られるセンサとの組み合わせも可能である。例えば、健康管理のみのセンサとして、画像処理により体温を検知するセンサと両機能をもつ他のセンサとを組み合わせてもよい。また、生体認証のみのセンサとなる指紋センサと両機能をもつ他のセンサとを組み合わせてもよい。
なお、家庭用開錠認証センサ13全体として生体認証および健康管理の機能を持てばいいので、生体認証の機能のみを持つセンサと健康管理データ取得の機能のみを持つセンサとを組み合わせて家庭用開錠認証センサ13とすることも可能である。さらには、認証動作の際に自然に健康管理データの取得も行われるよう構成する場合には、認証機能に関しては生体認証に限らず、暗証番号やICカードなど、在来の認証手段を採用してもよい。
【0017】
Aパソコン5は、さらに、パソコン使用時にアクセス権があるかどうかを認証するためのユーザ認証センサ18を持っている。ユーザ認証センサ18も生体認証機能を持っており、すでに説明したのと同様の指血管情報取得機能の他、マウスを持つ掌の血管情報などパソコンの使用特有の事情に合致した生体認証機能を持っている。マウスに生体認証機能を持たせた場合には、パソコンの使用開示時点だけでなく、使用途中においても常に生体認証を繰り返すことができるとともに、継続して健康管理データを取得することができる。このようにしてパソコン使用におけるユーザ認証の際にも、生体認証データと健康管理データの取得とを同時に行うことができる。
ユーザ認証センサ18からの信号の取り扱い、認証照合データ保持部14に登録された認証照合データとの照合、健康照合データ保持部16に登録された健康照合データとの照合、および健康管理データの個人健康データベース15への蓄積については、家庭用開錠認証センサ13に関連して説明したのと同様なので、重複を避けるため説明を省略する。但し、ユーザ認証センサ18の場合、認証照合データ保持部14の認証照合データとの照合によりユーザとして認証されたときは、制御部12がAパソコンの使用を許可する点だけは異なる。
【0018】
Aパソコン5は、以上説明した玄関ドア10のドアロック11の開錠管理機能とAパソコン5のユーザ認証機能の他に、マンション1の入口ロック制御システム8に用いられる管理パソコン19との連携機能も有している。
マンション入口ロック制御システム8には入口ロック20が設けられているが、マンション入口を閉じる度にオートロックされ、外部からの開錠の制御は管理パソコン19が行う。管理Aパソコン19は、マンション入口の開錠を望む人に対して生体認証を行う業務用開錠認証センサ21からの情報を受け、これをマンション入口ロック制御システム8に参加しているすべての居室のパソコンに送る。図1ではA居室2のAパソコン5、B居室3のBパソコン6、C居室4のCパソコン7に業務用開錠認証センサ21からの情報が送られるが、図示していない居室がマンション入口ロック制御システム8に加入していれば、それらの居室のパソコンにも同様の情報が送られる。なお、業務用開錠認証センサ21は家庭用開錠認証センサ13と共通の機能も持つが、それより高度のセンシング機能も備えたハイスペックのものとなっている。
【0019】
以上の構成において、例えばA居室2のAパソコン5に送られた業務用開錠認証センサ21からの情報は、制御部12によって認証照合データ保持部14にあらかじめ登録しておいた認証照合データと照合される。そして、照合の結果、マンションへの入館資格がある人であることが認証されると管理パソコン19にその結果を通知し、管理パソコン19はこの通知に応じて入口ロック20に開錠信号を送る。一方、認証照合データと一致しなければ管理パソコン19に不一致の旨通知する。この場合、管理パソコン19は少なくともA居室2からの指示によっては入口ロック20に開錠信号を送らない。
同様のことが、B居室3、C居室4などマンション入口ロック制御システム8に参加しているすべての居室のパソコンと管理パソコン19との間で行われる。そして、管理パソコン19はいずれかの居室のパソコンからマンションへの入館資格がある人である旨の認証結果が通知された場合、入口ロック20に開錠信号を送る。一方、すべての居室から認証照合データと不一致の旨の通知があった場合は、管理パソコン19は入口ロック20に開錠信号を送らない。そして、入館拒否の表示がマンション入口において行われる。
【0020】
なお、いずれかの居室から管理パソコンへの通知がなかった場合でも、その他の居室すべてから認証照合データと不一致の旨の通知があれば、管理パソコン19は入口ロック20に開錠信号を送らない。この場合も、入館拒否の表示がマンション入口において行われる。もしこの表示を見た人自身がマンションへの入館資格を持った住人なら、自分の居室になんらかのシステム障害が起こっていると判断できるので、別途の暗証番号入力またはICカード挿入等の手段によって入口ロック20を開錠し、当座の入館を行うことができる。また、その後のシステム復旧の手を打つこともできる。
なお、入館拒否の表示においては、すべての居室から認証照合データ不一致の通知があったのか、それともシステム障害があったのかの情報は一切明らかにされない。また、管理パソコン19自体も認証照合結果の通知がどの居室のものか分からないように配慮されている。
【0021】
以上のように、マンション入口ロック制御システム8の管理パソコン19自体には各居室の住人の認証照合データの記録や照合機能はなく、単に照合結果が各居室から通知されるだけである。このような配慮により、血管パターンや眼底パターンなどプライバシーにかかわる生体認証用の認証照合データは各居室内に留められる。また、管理パソコン19自体に照合機能がなく、かつ照合結果がどの居室から来たものか分からないので、業務用開錠センサ21によって取得されるデータも誰のものかわからず、プライバシーが保護される。
【0022】
業務用開錠認証センサ21は、家庭用開錠認証センサ13と同様、認証用の情報だけでなく、健康管理情報も取得できる。従って、家庭用開錠センサ13について説明したのと同様の健康管理が業務用開錠認証センサ21によっても可能となる。業務用開錠認証センサ21からの信号の取り扱い、健康照合データ保持部16に登録された健康照合データとの照合、および健康管理データの個人健康データベース15への蓄積については、家庭用開錠認証センサ13の場合と同様なので、これ以上の説明は省略する。
【0023】
先に述べたように、業務用開錠認証センサ21は、家庭用開錠認証センサ13と共通の機能を備えるとともに、それより高度のセンシング機能を備えたハイスペックのものである。認証照合データ保持部14および健康照合データ保持部16に保持される照合データおよびこれらの情報を取り扱う個人健康データベース15は、このような業務用開錠認証センサ21の高度のセンシング機能にも対応するものとなっている。
【0024】
また、業務用開錠認証センサ21と家庭用開錠認証センサ13との間で共通の機能については、同一の健康指標についてダブルチェックが行われる。つまり、A居室に向かう住人に対しては、まずマンション入口にて業務用開錠認証センサ21によって健康指標を取得し、次いでA居室2の玄関ドア10において家庭用開錠認証センサ13によって同一の健康指標を取得することができる。これによって同一の健康指標の検知精度を向上させることができる。
さらにマンション入口での検出結果と玄関ドアでの検出結果との間で同一の健康指標における因果関係をチェックすることもできる。具体的にはマンション入口にて平静状態の健康管理データを取得した後、階段を上ってA居室2の玄関ドアに到達した場合、その運動負荷がかかっている状態で同一の健康管理データを取得することができるので、両者の比較により平静状態と運動負荷状態における因果関係のチェックが可能となる。運動負荷の違いは、検知される脈拍数などによって把握できる。
逆に、坂道を登ってマンションに帰宅した場合は、その運動負荷がかかっている状態でマンション入口にて康管理データが取得され、その後エレベータ内で平静状態に戻ってA居室2に到達したときは、玄関ドアにて運動負荷から回復後の同一の健康管理データの取得ができる。
このように、各個人の生活パターンやマンションと居室の居住条件などを利用し、マンション入口で取得される健康管理データと玄関ドアで取得される健康管理データとを組み合わせれば、各人に合わせた豊富な健康管理データの取得が可能となる。
【0025】
さらに、健康状態は、季節や、気温、湿度、風速などの気象条件にも依存する可能性があるので、家庭用開錠認証センサ13および業務用開錠認証センサ21には、健康管理データ取得時の日付時刻データを合わせて記録する機能を持たせるとともに、季節や気象条件のセンサを設ける。これらの機能との組み合わせによって、さらに豊富な健康管理データの取得が可能となる。特に、業務用開錠認証センサ21は屋外に面しているのでより豊富な情報の取得が可能である。また、気温、湿度などは、マンション入口と各居室の玄関ドア部分では条件が異なるので、これらの条件変化について同一の健康管理データの比較を行うこともできる。
【0026】
先に述べたように、A居室2とマンション入口ロック制御システム8との連携は、B居室3やC居室4とマンション入口ロック制御システム8との間でも同様に行われる。このため、各居室のシステムは少なくともマンション内において相互に連携可能な規格によって運営されている。従ってマンション入居の際には、システムチェックが行われるとともに、マンション入口ロック制御システムのバージョンアップの際には、各居室のシステムも連動してバージョンアップされる。
なお、引越しの際には、開錠認証はともかくとして、個人健康データベースや健康照合データについては転居先でも引き続き使用することが望まれる。従って、少なくとも健康管理システムについてはマンションなどの住居が変わっても引き続き使用できるような一般性のある規格によって運営される。
【0027】
次に、A居室2を例にとって医療機関との連携について説明する。Aパソコン5はインターネットによって医療機関9の大型コンピュータ22と情報交換している。セキュリティの維持のため、交換される情報は暗号化されているとともに、患者の認証についてもAパソコン5のユーザ認証センサ18を活用した生体認証システムによって万全が期されている。
【0028】
健康照合データ保持部16の健康照合データは、医療機関9の健康照合データ登録部23によって登録される。これは、医療機関9を訪れた患者が自動化装置を用い、健康照合ソフト24の指示に基づいて自身の健康管理データを検査して自動的に登録することが可能である。また、同じ数値であっても個人によって健康度の判断が異なるので、必要に応じ医師25が実際に診察を行った上で健康照合データの登録を行う。その際、自動登録された健康管理データなのか、医師の判断が入った上で登録された健康照合データなのかを区別する情報を入れておき、後に照合する際に反映する。
このようにして登録された患者の健康照合データは制御部26の制御によって患者自宅のAパソコン5に送信され、健康照合データ保持部16に保存される。また、健康照合データを取り扱うための健康照合ソフト中、Aパソコン5に必要な部分もあわせて送信され、制御部12にインストールされる。
【0029】
家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18から得られた生データ、およびそれらが蓄積された個人健康データベース15のデータはリアルタイムで医療機関9の大型コンピュータ22に送信され、総合健康データベース27に蓄積される。
また、健康照合データ保持部16との照合結果も補助的に医療機関9の大型コンピュータ22に送信される。健康照合データとの照合は医療機関の健康照合ソフト24でも可能であるが、すでにAパソコン5内で行われた照合の結果通知を受ける方が効率的であるからである。もちろん、Aパソコン5で取り扱うことのできない高度の健康管理データの照合は大型コンピュータ22の健康照合ソフト24で初めて取り扱われる。その結果も総合健康データベース27に蓄積される。
【0030】
また、総合健康データベース27に蓄積された各患者のデータは定期的に医師25の診断を得るために医師25の手元にある診断入出力部28に出力される。医師25の診断結果は診断入出力部28に入力され、総合健康データベース27に蓄積される。
【0031】
総合健康データベース27に蓄積された健康照合ソフト24の照合結果および医師25による診断結果は定期的にAパソコン5に送られ、患者は自宅のAパソコン5の表示部又はテレビ17により診断結果を見ることができる。
なお、健康照合ソフト24の照合結果または医師25による診断結果に基づき、緊急を要する異常が認められたときは、その都度、大型コンピュータ22からAパソコン5にその旨の通知が行われる。
【0032】
以上の医療機関9とA居室2との連携は、B居室3、C居室4でも共通である。このようなシステムを維持するため、各居室は、マンション入口ロック制御システムだけでなく、医療機関9とも相互に連携可能な規格によって運営されている。
【0033】
医療機関9の総合健康データベース27には多数の患者の健康管理データが蓄積されているので、その統計処理に基づき、特定の患者の健康管理データが平均値や分布に照らしてどの位置にいるかの参考情報を提供することができる。また、統計処理の観点から特定の患者の健康管理データが正常範囲にあるのか異常範囲にあるのかの診断をより客観的に行うことも可能となる。医療機関9はこのようなサービス情報の配信もAパソコン5に対して行う。なお、統計処理に当たっては、各患者のプライバシー情報保護について万全の処置がとられる。
【0034】
医療機関の健康照合ソフト24は、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18の健康管理データ取得機能と深く関連している。従って、これらのセンサが変更されたときや新しい機能のセンサが導入されたときは、その都度、医療機関9の健康照合ソフト24がこれらのセンサに対応できるよう機能のメンテンスを行う必要がある。このため、医療機関9の大型コンピュータ22と各居室のAパソコン、Bパソコン、Cパソコンなど、および医療機関9の大型コンピュータ22とマンション入口ロック制御システムの管理パソコン19とは常にソフトウエア更新の連携を保っている。
また、逆に、医療機関9側からの提案により、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18を、より高性能、高機能のものに変更する事も行われる。その場合は、医療機関9から各センサとそのセンサのドライバーソフトが有償で提供される。また、医療機関9とその旨のメンテナンス契約をしておけば、センサとそのドライバーソフトについて改良が行われる度に、それらの無償提供を受けることも可能である。
【0035】
各患者は、その意思または引越しなどの事情によって、医療機関を変えることがある。その場合、患者は総合健康データベース27に保存された自分の健康管理データベースを新しい医療機関でも引き続き使用することを望む。従って、従って、総合健康データベース27を取り扱うシステムについては医療機関9が変わっても引き続き使用できるような一般性のある規格によって運営される。
【0036】
図2は、生体認証および健康管理データ取得のために、家庭用開錠認証センサ13、業務用開錠認証センサ21およびユーザ認証センサ18で用いられる血管センサシステムを示すシステムブロック図である。図2では家庭用開錠認証センサ13にの場合に基づいて説明し、図1と共通のブロックには同一番号を付す。
【0037】
図2において、血管センサ31は、家庭用開錠認証センサ13に設けられているもので、生体認証を求める人の指が挿入される部分にあり、血液と血管に対する吸収特性が異なる複数波長の光源と受光部を持つ。血管センサ31の出力はAパソコン5に送られ、制御部12における画像処理部32で処理される。以下、制御部12における機能は実際にはソフトウエアによって実行されるが、図2では、このようなソフトウエアで実行される機能をブロックとして「画像処理部32」のように表記して説明する。
なお、当然ながら制御部12における機能の実行をハードウエアで行うことも可能であり、ハードウエアとソフトウエアの組合せにより実行することも可能である。
【0038】
血管パターン抽出部33は、画像処理部32で処理された画像に基づいて血管パターンを抽出する。抽出された血管パターンは、制御部12の照合/本人判定部34により認証照合データ保持部14に保持される登録パターン35と照合され、両者が同一かどうかで認証を求めた人が本人かどうか判定する。本人であると判定されたときは制御部12はドアロック11に開錠信号を送る。
照合/本人判定部34による個人特定情報は個人健康データベース15にも送られ、後述する健康管理データが誰のものであるかの管理に用いられる。
【0039】
一方、制御部12の脈波検出部36は、画像処理部32で処理された画像に基づき、動脈血の脈波を検出する。検出された脈波は、制御部12の波形分析部37により分析され、第1健康判定部38により認証照合データ保持部14に保持されている参照波形39と比較される。そして、比較結果に基づく血管若さの情報が照合/本人判定部34からの個人特定情報とともに個人健康データベース15に蓄積される。なお、先に述べたように、この判定結果は、テレビ17にも表示される。
【0040】
さらに、脈波検出部36によって検出された脈波は、制御部12の成分分析部40により分析されて酸素飽和度などの動脈血の成分が検出される。検出された動脈血の成分は、第2健康判定部41により認証照合データ保持部14に保持されている参照成分42と比較される。そして、比較結果に基づく血液成分情報が照合/本人判定部34からの個人特定情報とともに個人健康データベース15に蓄積される。なお、第2健康判定部41の判定結果についても、テレビ17に表示される。
【0041】
個人健康データベース15に蓄積された第1健康判定部38の判定結果および第2健康判定部41の判定結果は、制御部12により医療機関9に送信される。なお、先に述べたように、第1健康判定部38の判定結果および第2健康判定部41の判定結果そのものもリアルタイムで医療機関9に送信される。
【0042】
なお、照合/本人判定部34には、脈波検出部36からの脈波信号も補助的に入力される。そして照合/本人判定部34は、血管パターン抽出部33で抽出した血管パターンと認証照合データ保持部14に保持される登録パターン35とが一致したとしても、脈波検出部36からの脈波信号の入力がなければ本人との判定を行わず、制御部12はドアロック11に開錠信号を送らない。これは、生体反応のない物質で偽造した血管パターンによりドアロックが開錠されてしまうのを防ぐためである。
【0043】
図3は、開錠認証センサの詳細構成を示すブロックである。図3では業務用開錠認証センサ21の場合に基づいて説明し、図1と共通のブロックには同一番号を付し、必要がない場合は説明を省略する。
業務用開錠認証センサ21では、構成部品が交換可能にユニット化されており、センサユニット51は、故障時の交換が可能なようにユニット化されている。またバージョンアップ時の交換にも対応できるよう、外形および電気接続部が規格化されている。また、認証を求める人の指が挿入される部分は、外部からの汚れからセンサユニット51を保護するための透明カバーなどの保護ユニット52として構成されており、これも損傷時やバージョンアップ時のために交換可能なユニットになっている。センサユニット51および保護ユニット52は、それぞれ独立に交換可能である。
【0044】
管理パソコン19の制御部53は、センサユニット51と接続されており、センサユニット51の機能を制御するとともに検知された信号を受ける。また、センサユニット51が正常に機能しているかどうかのチェックも行う。。
管理パソコン19の制御部53は、さらに保護ユニット52とも接続されており、保護ユニット52に汚れや破損がないかチェックする。これによって、戸外に露出させられた環境下における性能劣化に対応するとともにいたずらによる破損等についても迅速に対応する。
なお、保護ユニット52の汚れや破損のチェックは、上記のように直接保護ユニット52と制御部53を接続して行ってもよいが、これに代えてセンサユニット51からの出力を制御部53で分析し、その出力低下の様子から間接的に保護ユニットの汚れや破損を推定するようにしてもよい。
管理パソコンの制御部は、さらには、センサユニット51または保護ユニット52が交換されたときの初期動作確認も行う。具体的にはセンサユニット51や保護ユニット52の性能や動作のバラツキ等を補償するため、所定の初期動作を行わせて確認を行うとともにその結果に応じて出力のキャリブレーション等の調整を行う。
【0045】
入館拒否表示部54は、すでに説明したように、すべての居室から認証照合データ不一致の通知があるか、またはシステム障害によりいずれの居室からも認証できた旨の通知がなかったとき、その旨の表示を行う。補助認証部55は、暗証番号入力部またはICカード挿入部等として構成され、入館資格のあるマンションの住人がシステム障害によりマンションに入館できない場合に対応する。
【0046】
健康データ取得失敗表示部56は、個人認証には成功したが健康管理データ取得の観点からは充分な情報が取得できなかった場合にその旨およびその原因について警告表示を行う。すでに説明したように、この表示によって、健康管理データの取得期待している使用者は、その失敗に気づくことができる。
このように、健康データ取得失敗表示部6は、生体情報が健康管理情報として不充分であるときこれを報知する報知部となっている。報知の手段としては、視覚的な表示の他、警告音なども採用することができる。
【0047】
マンション入口ロック制御システム8は、健康管理情報を含む生体情報を業務用開錠認証センサ21によって取得するものの、その利用は専らA居室2側で行われる。したがって、健康データ取得失敗表示部6によって表示を行うべきかどうかの判断自体は、A居室2のAパソコン側で行い、その結果のみをマンション入口ロック制御システム8に通知して、健康データ取得失敗表示部56にこれを表示させる。
しかしながら、業務用開錠認証センサ21によって取得される生体情報が健康管理情報として充分かどうかはその出力レベル等により、マンション入口ロック制御システム8側で判断することも可能である。従って、健康データ取得失敗表示部56の表示を行わせるかどうかの制御を管理パソコン19独自の判断で行うよう構成してもよい。なお、管理パソコン19独自の判断とAパソコン5からの指示を併用して健康データ取得失敗表示部56の表示の制御を行わせるようにしてもよい。
【0048】
外部条件センサ57は、さらに、気温、湿度、風速などの気象条件を検出するもので、制御部53はこの外部条件センサの出力をセンサユニットからの情報と関連付け、健康管理データ取得時の日付時刻データとともにAパソコン5に送る。
【0049】
また、人センサ58は、マンション入口の所定のエリア内に人が立ったときこれを検知して認証センサの動作にトリガーをかけるものである。
【0050】
図3の業務用開錠認証センサ21におけるセンサユニット51および保護ユニット52の構成は、家庭用開錠認証センサ13にも採用できる。また、図3の入館拒否表示部54、補助認証部55、健康データ取得失敗表示部56、外部条件センサ57、人センサ58と同様の構成は、A居室2などの各居室における玄関ドア10にも設けられる。
【0051】
図4は、A居室2のAパソコンにおける制御部12の機能を示す基本フローチャートである。この基本フローチャートはAパソコンのOSの制御に従って、適宜繰り返し実行される。
基本フローチャートの機能がスタートすると、ステップS1で業務用開錠認証センサ21が変更されていないかどうかチェックする。変更があるとステップS2で管理パソコン19から新たなソフトの提供を受け、業務用開錠認証センサ21の情報を処理できるようAパソコン5のソフトを自動書き換えしてステップS3に移行する。業務用開錠認証センサ21に変更がなければ、直接ステップS3に移行する。
【0052】
ステップS3では、管理パソコン19の処理ソフトがバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS4で管理パソコン19からバージョンアップに関する新たなソフトの提供を受け、Aパソコン5のソフトを自動書き換えしてステップS5に移行する。バージョンアップがなければ、直接ステップS5に移行する。
【0053】
ステップS5では、医療機関9の健康照合データ登録部23において登録された新たな健康照合データがないかどうかチェックする。新たな健康照合データがあると、ステップS6でそのデータを健康照合データ保持部16に自動入力してステップS7に移行する。新たに登録された健康照合データがなければ、直接ステップS7に移行する。
【0054】
ステップS7では、医療機関9の健康照合ソフト24がバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS8で医療機関9の大型コンピュータ22からバージョンアップに関する新たなソフトの提供を受け、Aパソコン5のソフトを自動書き換えしてステップS9に移行する。バージョンアップがなければ、直接ステップS9に移行する。
なお、ステップS7では、具体的には医療機関9の最新の健康照合ソフト24がAパソコン5のソフトと比較され、両者が異なっていれば、健康照合ソフトのバージョンアップがあったと判断される。このようにバージョンアップの有無とは、医療機関9側でいつバージョンアップがあったかの問題ではなく、Aパソコン5側に現在どんなソフトが入っているかによって決まる。従って、A居室2が家庭内健康管理システムに新規加入してAパソコンには健康照合ソフトがまだ何もインストールされていない場合には、バージョンアップがあったと判断され、ステップS8では、その時点での医療機関9の最新の健康照合ソフトがAパソコン5に提供されて自動インストールされる。
【0055】
ステップS9は、家庭用開錠認証センサ13が変更されていないかどうかチェックする。変更があるとステップS10で家庭用開錠認証センサのドライバソフトをインストールする処理を行い、ステップS11に移行する。家庭用開錠認証センサ13に変更がなければ、直接ステップS11に移行する。
【0056】
ステップS11では、Aパソコン5の認証照合データ保持部14に開錠認証照合データを新たに登録する処理を行う。この処理は、家族のマンション入居のときや、新たに登録を必要と家族が増えたときや、業務用開錠認証センサ21または家庭用開錠認証センサ13が変更されて新たな機能が追加されたときなどに生じる。認証照合データを新たに登録する際、家庭用開錠認証センサ13のために登録を行う場合と、業務用開錠認証センサ21のために登録を行う場合では手続きが異なるので、その詳細については後述する。
【0057】
次いでステップS12においてセンサチェック処理を行う。ステップS12は、ステップS1やステップS9において開錠認証センサが変更されたときにその初期状態においてセンサが正常に動作することをチェックする他、センサに故障や劣化がないかどうか常にチェックするために必要なものである。その詳細については後述する。
【0058】
ステップ12に続くステップS13では、システムスタート処理が行われるがその詳細は後述する。ステップS13の処理が終わるとステップS14に移行し、認証トリガーを待機状態とする。認証トリガー待機状態では、具体的には、玄関ドアの前に人が立ったときこれを自動的に検知してトリガーがかかり認証機能がスタートできるようAパソコン5を待機させる。認証トリガー待機状態では、さらに、マンション入口に人が立ったときこれを管理パソコン19が認識してその旨をAパソコン5に通知した際にもトリガーがかかり認証機能がスタートするようAパソコン5を待機させる。
認証トリガー待機状態においてトリガーがかかると、Aパソコン5は、家庭用開錠センサ13での認証が求められたのか、または管理パソコン19からの通知があったのかを識別してそれそれ別に認証フローに入る。その詳細は後述するが、このようなトリガーがかかったときにAパソコン5が使用中である場合、トリガーがかかった旨の表示がAパソコン5のディスプレー上において行われる。
【0059】
図5は、図4のA居室2のAパソコンにおける制御部12の機能におけるステップS12のシステムスタート処理の詳細を示す
システムスタート処理が始まると、ステップS21で認証照合データ保持部14になんらかの開錠認証照合データが登録されているかどうかをチェックする。開錠認証照合データが登録されていれば、ステップS22で、その開錠認証照合データに対応した個人別に玄関ドア開錠の待機状態となる。
【0060】
次にステップS23に進み、A居室2がマンション入口ロック制御システム8に加入済みかどうかチェックする。加入済みであればステップS24で、照合認証データ保持部14に登録された認証照合データに対応した個人別にマンション入口開錠の待機状態としてステップS25に移行する。ステップS23でA居室2がマンション入口ロック制御システム8に加入済みでなければ、直接ステップS25に移行する。この場合、生体認証による開錠はA居室2の玄関ドア10だけとなり、生体認証によるマンション入口開錠の資格はない。
【0061】
ステップS25では、医療機関9が管理する家庭内健康管理システムにA居室2が加入しているかどうかチェックする。加入済みであれば、ステップS26で、照合認証データ保持部14に登録された認証照合データに対応した個人別に、まず健康管理データの健康管理データを個人別健康データベース15に蓄積させる機能を待機状態とする。
次いで、ステップS27で、個人別健康管理データ保持部15に蓄積されたセンサ出力の経時変化をテレビ表示する機能も待機状態とする。ここまでの機能は、健康照合データがなくても可能だからである。
【0062】
次いでステップS28で、医療機関9の健康照合データ登録部23にて登録された健康照合データが健康照合データ保持部16に保持されているかどうかチェックする。健康照合データがあれば、ステップS29に至り、照合認証データ保持部14に登録された認証照合データに対応した個人別に、センサ出力または個人別健康管理データ保持部15に蓄積されたセンサ出力と健康照合データとを照合する機能を待機状態とする。
次いで、ステップS30で、照合結果をテレビ表示する機能も待機状態とし、ステップS31に移行する。
【0063】
なお、ステップS21において認証照合データ保持部14に開錠認証照合データが全く登録されていない場合は、開錠システムの以降の機能ができないので、直接ステップS31に飛ぶ。
また、ステップS25において家庭内健康管理システムにA居室2が加入していなかった場合、以降の健康管理機能の実行ができないので、直接ステップS31に飛ぶ。
さらに、ステップS28で、医療機関9の健康照合データ登録部23にて登録された健康照合データが健康照合データ保持部16に保持されていない場合は、以降の照合機能の実行ができないので、直接ステップS31に飛ぶ。
【0064】
ステップS31からは、パソコンユーザ認証機能に入る。ステップS31では、認証照合データ保持部14にパソコンユーザ認証のための照合データが登録されているかどうかをチェックする。パソコンユーザ認証照合データが登録されていれば、ステップS32で、そのパソコンユーザ認証照合データに対応した個人別に、パソコンへのアクセス認証を待機状態とし、ステップS33に移行する。一方、ステップS31において認証照合データ保持部14にパソコンユーザ認証のための照合データが登録されていない場合は、それ以降の機能は不要なので直ちにシステムスタート機能を終了し、図4のステップS14に移行する。
【0065】
ステップS33では、医療機関9が管理する家庭内健康管理システムにAパソコン5のユーザ認証機能が加入しているかどうかをチェックする。加入済みであれば、ステップS34で、照合認証データ保持部14に登録された認証照合データに対応した個人別に、健康管理データの個人別健康データベース15への蓄積および照合認証データ保持部14に登録された認証照合データとの照合などの健康管理機能を待機状態とし、システムスタート機能を終了する。一方、ステップS33においてAパソコン5のユーザ認証機能が家庭内健康管理システムに加入していなければ、直ちにシステムスタート機能を終了する。
【0066】
図5では、健康管理データの蓄積と照合への待機をまとめてステップS34として記載している。しかし詳細には、ステップS34においても、まずはステップS26のように健康管理データの蓄積機能および経時変化表示機能を待機状態とし、その後、ステップS28のように健康照合データ保持部16における健康照合データの有無をチェックしたうえで照合機能を待機状態とする。
【0067】
図6は、玄関ドアの前に人が立って認証トリガーがかかった場合のA居室2のAパソコンにおける制御部12の機能を示すフローチャートである。
このトリガーがかかった場合、ステップS41において、まず玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS42に進み、家庭用開錠認証センサ13への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS41に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0068】
ステップS42において指の挿入があるとステップS43に進み、認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致するかどうかがチェックされる。一致があればステップS44に進み、家庭用開錠認証センサ13が健康管理データ取得に成功したかどうかがチェックされる。成功しない場合とは、家庭用開錠認証センサ13で得られた情報が開錠照合には充分であるが、健康管理データとするには不十分である場合である。このように、家庭用開錠認証センサ13で得られた情報については開錠照合に充分なレベルと健康管理データとして充分なレベルには差があり、通常、充分なレベルの情報を得るには後者の方がより高い精度が要求され、また情報の取得にはより時間がかかる。従って、指の挿入時間が短いと、ステップS43で開錠認証照合データが一致した旨の判断が行われても、ステップS44に至って、家庭用開錠認証センサ13が健康管理データ取得に失敗した旨の判断が行われる可能性がある。
ステップS44で健康管理データ取得が成功したことが確認されるとステップS45に進み、取得したデータを個人健康データベース15に蓄積する。個人健康データベース15に蓄積されたデータは医療機関9との契約により、ステップS45の段階でリアルタイムに大型コンピュータ22にも送信され、総合健康データベースに27にも蓄積される。これによって、個人健康データベースの内容がバックアップされるとともに、引越し等への対応も可能となる。
【0069】
次いで、ステップS46において、健康照合データ保持部16に照合データがあるかどうかをチェックし、データがあればステップS47に進んで、取得したデータとの照合処理を行う。そしてステップS48に進み、照合の結果健康管理データに異常があるかどうかをチェックする。異常があればステップS49に進み、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備し、ステップS50に進む。ステップS48において異常がなければ、直接ステップS50に進む。上記の「健康異常」の表示にあたっては、ステップS43において誰のデータであるか判明しているので、「誰が健康異常であるか」の表示を行うことができる。
【0070】
テレビでの表示においては、以上のように構成する場合の他、ステップS48において異常ではなくても注意を喚起すべき新しいデータがあるときはこれをステップS49で表示するよう構成することができる。
また、ステップS49において、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備する代わりに、緊急性の高いときはテレビ17のスイッチを強制的にオンにして即座に表示を開始するよう構成してもよい。
また、ステップS49の表示を行うか行わないかをA居室2の各個人毎に予め希望通りに選択しておくことができるよう構成することも可能である。
【0071】
ステップS50では、ステップS47の照合結果を個人健康データベースに蓄積する。個人健康データベース15に蓄積された照合結果のデータについても、医療機関9との契約により、ステップS50の段階でリアルタイムに大型コンピュータ22に送信され、総合健康データベースに27にも蓄積される。ステップS48で異常を検出した旨の情報も同時に大型コンピュータ22に送信され、総合健康データベースに27に蓄積される。
以上の処理を経てステップS51に至り、ドアロック11に開錠を指示する。ドアロック11は、その指示に応じて開錠を実行する。ドアロック11の開錠指示後、ステップS52で玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックを再度行い、所定時間経過していれば玄関ドア開錠処理を終了する。ステップS52の意味は後述する。
なお、ステップS46において、健康照合データ保持部16に照合データがなければ、照合関連の処理は不要なので、直接ステップS51に至り、ドアロック11に開錠を指示する。
【0072】
一方、ステップS44において、健康管理データの取得に失敗した場合は、ステップS53おいてデータ取得失敗の旨の表示およびステップS54においてその理由の表示をし、ステップS51に至る。このように健康管理データの取得に失敗した場合であっても、ドアロック開錠の指示自体は行う。
玄関ドアから入室しようとしてデータ取得失敗表示およびその理由を見た利用者は、健康管理データの取得を重視する場合には、再度家庭用開錠承認センサ13に指を挿入してチェックを行うことを望む。ステップS52はこのために設けられているものであり、ドアの前に人が立ってから所定時間経過していない場合はステップS41からステップS42に戻り、指の挿入からやり直すことを可能とする。所定時間が経過してしまった場合は開錠処理を終了するが、どうしても健康管理データの取得をやり直したい場合は、一度玄関ドアから離れ、再度玄関ドアに近づいて、図6のトリガーをかけ直せばよい。
なお、ステップS53でデータ取得失敗表示を見た利用者は、急いでいる場合、そのままA居室5に入室して差し支えない。この場合、ステップS54で表示される失敗理由を理解しておき、次回の入室時からはその失敗の理由を除去するよう気をつけて指の挿入を行えばよい。
【0073】
ステップS41において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS55に移行し、入室拒否表示を行う。次いで、ステップS56において指が挿入されていない旨の拒否理由の表示を行った後、ステップS57に進む。
ステップS57では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS51に移行してドアロック開錠を指示する。但し、ステップS57経由でステップS51に至るときは、ステップS50またはステップS54経由の場合と区別できる信号とする。ステップS57はあくまで補助手段であり、セキュリティの観点からは危険が大きいので、上記区別できる信号に基づいて開錠記録を残すとともに必要に応じて警告を行うためである。
補助認証が行われないかまたは補助認証が失敗したときは、ステップS52を経て開錠処理を終了するので、ドアロックの開錠は行われない。
【0074】
また、ステップS43において、開錠認証照合データが一致しないか、または指が挿入されるが照合に必要なデータが取得されなかった場合も、ステップS55に移行し、入室拒否表示を行う。次いで、ステップS56において開錠認証照合データが一致しない旨の理由表示または照合に必要なデータが取得されない理由の表示を行う。
その後、ステップS57に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS51に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS52に進む。
この場合、ステップS52において所定時間が経過していなければステップS41を経てステップS42に戻るので、指の挿入が不適切であった場合、ステップS56の理由表示を参考に指の挿入をやり直せばステップS43からステップS44に進むことも可能となる。
【0075】
ここで、ステップS43がステップS44以前に設けられていて、開錠認証照合データが一致しないと健康管理データ取得のフローに入れないよう構成していることの意義について補足する。その第一義は、開錠認証照合データが一致しない場合、それは健康管理データを取得する意味のな他人であるからである。
しかし、より重要なのは、正しく指を挿入しておれば本来開錠認証照合データと一致するはずの個人について、開錠認証照合データとの一致がない場合に健康管理データを取得しないようにしている点である。つまり、開錠認証照合データとの一致は指が正しく挿入されたことの保障の意味を持っており、この場合だけ健康管理データを取得するよう構成することによって、指が誤って挿入された状態で不正確な健康管理データが取得されることを防いでいることに意義がある。
換言すれば、取得した生体情報に基づいて生体認証を行うとともに健康管理情報処理を行うことが可能な場合において、生体認証ができないときは健康管理情報処理部を無効とし、これによって健康管理情報の信頼性を保障している。
【0076】
図7は、マンション入口にの前に人が立ったことを管理パソコン19が検出し、この通知を受けたAパソコン5に認証トリガーがかかった場合の制御部12の機能を示すフローチャートである。その動作は図6とほぼ同一なので、説明の大半は省略し、異なっている部分のみコメントする。
図6のステップS42では、指の挿入のチェックを行っていたが、図7の場合は管理パソコン19がこのチェックを行う。従って、図7のステップS62では管理パソコン19の業務用開錠認証センサ21からの指データの受信があったかどうかをチェックする。
【0077】
ステップS64は図7において加えられたもので、ステップS63で開錠認証データが一致した場合、マンション入口にA居室2の住人が帰宅したことを意味するので、このことをA居室2内に報知するための信号を発生する。この帰宅報知信号の利用法としては、例えば夫の帰宅をA居室2内の妻に事前報知するよう構成する。また独居の場合は、帰宅報知信号によりA居室2内のエアコンおよび照明のスイッチを入れるよう構成する。
【0078】
図7では、図6のステップS53、ステップS54、ステップS55、ステップS56で行われるのと同様の表示に関連するステップがあるが、図7の場合、これらの表示の実行は管理パソコン19が行うので、Aパソコン5は、ステップS74、ステップS75、ステップS76、ステップS77において、管理パソコン19による表示のための情報送信のみを行う。
なお、図6ではステップS56における入館拒否理由表示の後、補助認証一致によるドアロック開錠のためのステップS57を置いている。これに対し、マンション入口ロック制御システムでは、補助認証一致による開錠制御は専ら管理パソコン19のよって行われるので、図7では、ステップS77において入館拒否の情報送信を行った後、直接ステップS73に移行する。
【0079】
さらに、図6のステップS51と同様の開錠処理が、図7でも行われるが、図7の場合、開錠の指示は管理パソコン19が行うので、Aパソコン5は、ステップS72において、管理パソコン19への入口ロック開錠信号の送信処理を行う。
ステップS72において送信される信号は、マンション入口ドアロック開錠指示に直結するセキュリティ上非常に重要な信号なので、ステップS72では、ステップS62において指データとともに受信する管理パソコン19からの指示に基づいて慎重な送信処理が行われる。まず、管理パソコン19の指示する暗号コードによって入口ロック開錠信号が暗号化される。さらにその送信タイミングも管理パソコン19の指示する極短時間幅内に行われる。これらの点については、図10でさらに詳しく説明する。
以上コメントした部分以外の図7における機能は基本的には図6と同様であるので、説明を省略する。
【0080】
図8は、図6のステップS47または図7のステップS68において制御部12によって行われる照合処理の詳細を示すを示すフローチャートである。
照合処理がスタートすると、まずステップS81において個人健康データベース15に過去の蓄積データがあるかどうかがチェックされる。過去の蓄積データがあればステップS82に進み、所定の蓄積期間が経過しているかどうかのチェックが行われる。これは、蓄積データの分析照合を行う意味のある期間が経過しているかどうかを見るためのものである。
蓄積データの分析照合を行うのに意味がある充分な蓄積期間が経過していればステップS83に進み、個人健康データベース15から必要な蓄積データを呼出す。呼出された蓄積データは、ステップS84において蓄積データ照合処理される。この蓄積データ照合処置においては、今回取得したデータも含めて処理する。以上で蓄積データに関する照合を終了し、ステップS85に移行する。ステップS84の蓄積データ処理については経時変化や季節変化など種々の照合があるのでその詳細は後述する。
なお、ステップS81において過去の蓄積データがなければ、直接ステップS85に移行する。また、ステップS82において所定期間が経過してない場合も直接ステップS85に移行する。いずれの場合も、蓄積データ照合処理をする意味がないからである。
【0081】
ステップS85では今回取得したデータを個人健康データベース15に蓄積し、ステップS86に進む。ステップS86では、今回取得した健康照合データと保持部16に保持されている照合データとの単純な照合を行い、ステップS87に進む。ステップS87以下では、状況にあわせてより高度の照合が可能かどうかチェックされ、可能であればそれらの照合が実行される。
【0082】
まず、ステップS87では、今回取得された健康管理データが業務用開錠認証センサ21に特有のセンシング機能に由来する項目であるかどうかチェックする。この答えがノーであるということは、取得されたデータが業務用開錠認証センサ21および家庭用開錠認証センサ13の両者で共通に取得可能な項目であることを意味する。従って、この場合はステップS88に進み、所定時間内に取得された同一項目のデータがあるかどうかをチェックする。
所定時間内に取得された同一個目のデータがある場合、通常は、A居室2の住人がまずマンション入口にて業務用開錠認証センサ21による認証を行ってこれを通過し、次いで所定時間内にA居室の玄関ドアに至って家庭用開錠認証センサ13による認証を行ったことが想定される。
【0083】
ステップS88で所定時間内に取得された同一個目のデータがある場合はステップS89に進み、データ取得条件が同一かどうかをチェックする。条件が同一である場合は、ステップS90に進む。この場合、データが大きく異なっている場合は一方がエラーである可能性が高いので、ステップS90では両者のデータが近似しているかどうかのクロスチェックを行う。クロスチェックの結果両方のデータが近似しており、両者とも信頼できるときはステップS91に進んで両者の平均化処理を行い、照合処理を終了する。
【0084】
一方、ステップS90のクロスチェックの結果、両者が大きく食い違っている場合は、いずれかのセンサが異常である可能性があるのでステップS92に進み、過去のデータを参考にして信頼できない方のデータを出したセンサを異常状態にあると判断し警告を行う。あわせてステップS93でそのセンサからのデータをエラーと見做し、破棄する。
以上のように、ステップS89においてデータ取得条件が同一の場合、業務用開錠認証センサ21によって取得されたデータと家庭用開錠認証センサ13によって取得されたデータにより同一項目をダブルチェックし、データの信頼性を高める。
【0085】
一方、ステップS89において、データ取得条件が異なっていた場合、データ取得条件に依存する健康管理データの変化の因果関係を含めた照合が可能となる。データ取得条件が異なる場合とは、すでに述べたように、業務用開錠認証センサ21によるチェックを行ったときと家庭用開錠認証センサ13によるチェックを行ったときとで同一人物自身の運動負荷が異なっていた場合などが該当する。さらに、通常は戸外にある業務用開錠認証センサ21でチェックを行ったときと通常は館内にある家庭用開錠認証センサ13でチェックを行ったときとで、気温などの気象条件が異なり、これが健康管理データに影響を与えている場合もこれに該当する。
ステップS89でこのようなデータ取得条件の違いが検知されたときには、ステップS94に進み、運動負荷が異なる場合には脈拍数などのデータ、気象条件が異なっている場合には、気温、湿度、風速などのデータを健康管理データ取得の条件として付加し、このような因果関係を含めて照合を行う。
【0086】
ステップS87において、取得された健康管理データが業務用開錠認証センサ21に特有のセンシング機能に由来する項目である場合には、同一の項目が家庭用開錠認証センサ13によって検出されることはないので、ステップS86の単純照合だけで直ちに照合処理を終了する。
また、ステップS89において所定時間内に取得された同一項目のデータがない場合も、後の処理は意味がないので直ちに照合処理を終了する。
なお、以上の機能において、何か特別な事情で業務用開錠認証センサ21のみによる認証または家庭用開錠認証センサ13のみによる認証を所定時間内に続けて行った結果ステップS88の答えがイエスになった場合でもステップS89に進むことがあるが、その場合でも効果は有効である。
【0087】
図9は、マンション入口ロック制御システム8の管理パソコン19における制御部53の機能を示す基本フローチャートである。この基本フローチャートはAパソコンのOSの制御に従って、適宜繰り返し実行される。
図9のフローがスタートすると、ステップS101で業務用開錠認証センサ21のセンサユニット51が変更されていないかどうかチェックする。変更があるとステップS102で新たなセンサユニットのドライバソフトをインストールする処理を行う。このとき、新たなセンサユニット51が医療機関9から提供されたものである場合は、制御部53は医療機関9の大型コンピュータから通信によりドライバソフトの提供を受け、自動インストールを行う。イ
ンストール処理が終了すれば、ステップS103に移行する。なお、センサユニット51に変更がなければ、直接ステップS3に移行する。
【0088】
ステップS103では、医療機関9の健康照合ソフト24がバージョンアップされていないかどうかチェックする。バージョンアップがあると、ステップS104で医療機関9の大型コンピュータ22からバージョンアップに関する新たなソフトの提供を受け、管理パソコンにおける健康管理データ取り扱いソフトを自動書き換えしてステップS105に移行する。バージョンアップがなければ、直接ステップS105に移行する。
【0089】
なお、健康照合ソフト24のバージョンアップの通知は医療機関9側のサービスとしてビジネス上大きな意味を持っている。従って、医療機関9はステップS103の過程を利用してその他の医療機関9側のサービス情報を提供することができる。例えば、次回受信日のリマインダ、定期健康診断の案内さらには花粉情報などを契約している個人のニーズに合わせて送信する。
ステップS104では、これら健康管理データ取り扱いソフト変更に直接関係のない情報を受け取ったときでも、これを記録し、次回にテレビ17がつけられたときにそのサービス情報が表示されるよう準備を行う。
【0090】
ステップS105では、業務用開錠認証センサ21の保護ユニット52が外部環境に曝されることによる劣化や破損またはいたずらによる破壊などにより損傷していないかどうかチェックする。損傷があり、センサユニット51が正常に動作しないと判断されたときは、ステップS106で保護ユニット交換を促す警告を行ってステップS107に移行する。なお、保護ユニット52に損傷がなければ、直接ステップS107に移行する。
【0091】
ステップS107では、マンション入口ロック制御システム8に新たな居室が加入したかどうかまたは加入済みの居室が脱退したかどうかをチェックする。加入または脱退があるとステップS108でその旨の処理を行う。
これによって、新規加入の居室の住人に対するマンション入口の開錠を可能にするとともに、常に全居室からの認証結果受信の有無を把握できるようにする。加入または脱退の処理が終わるとステップS109に移行する。なお、居室の加入または脱退がないときは、直接ステップS109に移行する。
【0092】
ステップS109では、マンション入口ロック制御システム8において認証照合データの新規登録が求められたかどうかをチェックする。新規登録が求められた場合にはステップS110に進んで登録処理を行い、ステップS111に移行する。なお、新規登録が求められていないときは、直接ステップS111に移行する。ステップS110の登録処理の詳細については後述する。
【0093】
ステップS111では、センサチェック処理を行う。これは図4のステップS12と同様のものであるが、管理パソコン19の場合、業務用開錠認証センサ21のチェックを担当し、その変更の際の初期状態での動作チェックを行う他、その後の故障や劣化がないかどうかのチェックを行う。その詳細については後述する。
【0094】
次いでステップS112に移行し、マンション入口での認証トリガーを待機状態とする。具体的には、マンション入口に人が立ったときこれを管理パソコン19が認識して認証機能がスタートするよう管理パソコン19を待機させる。
【0095】
図10は、マンション入口にの前に人が立ったことを管理パソコン19が検出し、認証トリガーがかかった場合の制御部53の機能を示すフローチャートである。
このトリガーがかかった場合、ステップS115において、まずマンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS116に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS115に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0096】
ステップS116において指の挿入があって生体情報が取得できるとステップS117に進み、マンション入口ロック制御システムに加入している全居室に取得データを送信する。次いで、ステップS118において、送信した取得データと開錠認証照合データが一致したことを示す認証データが受信されたかどうかがチェックする。なお、この認証データは偽造防止や誤信号との混同防止のため、暗号化されている。この暗号化コードは乱数表によってその都度変更され、ステップS117の取得データ送信時に各居室に伝えられる。ステップS118において、いずれかの居室から認証データの受信があればステップS119に進む。
【0097】
ステップS119では、ステップS118における受信がステップS117における送信に関連して決められる所定の極短時間幅内にあったのかどうかチェックする。後述のようにステップS118において受信する信号は、入口ドアロック開錠指示に直結する非常に重要な信号なので、ステップS119を置いて、さらに誤信号による誤動作防止と偽造認証データ信号発信によるロック破りに対抗する。特に認証データの偽造に対抗するため、ステップS119における極短時間幅は乱数表に基づいてその都度変更され、ステップS117によるデータ送信を受けた居室のパソコンだけにその時間幅が指定される。居室のパソコンは指定された時間幅の間に認証データを管理パソコン19に送信するので、この時間幅以外に受信された認証データ信号は偽造信号または誤信号と判断される。
ステップS119において認証データが指定どおりの極短時間幅に受信されたことが確認されるとステップS120に進む。
【0098】
ステップS120では、いずれかの居室から健康管理データ取得失敗の旨の通知が入信されたかどうかチェックする。失敗した場合とは、送信した取得データが開錠照合には充分であるが、健康管理データとするには不十分であるといずれかの居室にて判断された場合である。
ステップS120で健康管理データ取得失敗の旨の通知がいずれの居室からも受信されないことが確認されるとステップS121に進み、入口ロック20に開錠を指示する。入口ロック20はその指示に応じて開錠を実行する。
以上のステップS118およびステップS120における居室から管理パソコンへの認証データの送信および健康管理データ所得失敗の送信においては、これらの送信がいずれの居室から行われたか管理パソコン19側ではわからないようにし、プライバシー保護に配慮する。
【0099】
入口ロック20開錠指示後、ステップS122に進み、ステップS116で取得した生体情報を消去する。これは、プライバシー保護の万全を期するためである。その後ステップS123に進み、再度マンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間が経過していれば、開錠処理を終了する。
【0100】
一方、ステップS120において、健康管理データの取得に失敗した旨の通知を受信したことが確認された場合は、ステップS124においてデータ取得失敗の旨の表示を行うとともに、ステップS125においてその理由の表示をし、ステップS121に至る。このように、健康管理データの取得に失敗した場合であっても、入口ロック開錠の指示を行うことは、マンション入口開錠制御システム8でも同様である。
【0101】
ステップS115において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS126に移行し、入館拒否表示を行う。次いで、ステップS127において指が挿入されていない旨の拒否理由の表示を行った後、ステップS128に進む。
ステップS128では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS121に移行して入口ロック開錠を指示する。このときステップS120またはステップS125経由でステップS121に至る場合と区別できる信号とするのは、図6の57と同様である。得にステップS128の場合はマンション入口という公共の場所なのでより高いセキュリティが求められる。従ってステップS128の補助認証の際には誰がこれを求めたのかの個人IDを取得して記録に残す。
補助認証が行われないかまたは補助認証が失敗したときは、ステップS122およびステップS123を経て開錠処理を終了するので、入口ロック20の開錠は行われない。なおこの場合、元々消去すべき生体情報の取得がないのでステップS122では結果的に何もしないのと同じことになるが、次に述べる事情のためにステップS122を経由するようにしている。
【0102】
ステップS116を経由して生体情報を得ている場合であって、ステップS118においていずれの居室からも認証データを受信しない場合、ステップS126に移行し、入館拒否表示を行う。次いで、ステップS127において入室拒否表示の理由表示を行う。
また、ステップS119において認証データが指示通りの極短時間幅内に受信されなかった場合も、同様にステップS126に移行して入館拒否表示を行うとともにステップS127において入室拒否表示の理由表示を行う。
表示すべき理由に関する情報は、管理パソコン19だけでは分からない場合もあるので、そのときは認証機能を担当している各居室のパソコンから入手する。ただし、どの居室からの情報であるかは管理パソコン19が検知できないようにし、各居室のプライバシーを守っている。
その後、ステップS128に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS121に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS122に進み、ステップS116で取得した生体情報を消去する。このように、認証ができなかった場合であっても取得した生体情報は消去し、プライバシーの保護を万全とする。
次にステップS123に進むが、ここで所定時間が経過していなければステップS115を経てステップS116に戻るので、指の挿入が不適切であった場合、ステップS127の理由表示を参考に指の挿入をやり直せばステップS116からステップS117に進むことも可能となる。
【0103】
図11は、医療機関9の大型コンピュータ22における制御部26の機能を示す基本フローチャートである。機能がスタートすると、ステップS131において業務用開錠認証センサ21の新規登録または既登録センサの抹消または更新がないかどうかチェックする。更新にはセンサのバージョンアップによる機能変更も含まれる。業務用開錠認証センサ21に登録、抹消、更新のいずれかがあればステップS132に進み、大型コンピュータのデータまたはソフトにその旨の変更を行った上でS133に移行する。これによって医療機関9がカバーする業務用開錠センサの変更に対応することができる。なお、業務用開錠認証センサ21に変更がなければ直接ステップS133に移行する。
【0104】
ステップS133とステップS136では、家庭用錠認証センサ13の新規登録または既登録センサの抹消または更新がないかどうかチェックする。更新にはセンサのバージョンアップによる機能変更も含まれる。家庭用認証センサ13に登録、抹消、更新のいずれかがあればステップS134に進み、大型コンピュータによって引越し処理が行って、ステップS135に移行する。
家庭用開錠認証センサの登録、抹消、更新は、単なるセンサーのバージョンアップによることもあるが、多くの場合、家族の引越しによるマンションへの入退居を伴い、居室内パソコン内のデータ処理も必要なので、引越し処理にはいくつかの手続きが伴う。その詳細については後述する。なお、家庭用開錠認証センサ13に変更がなければ直接ステップS135に移行する。
【0105】
ステップS135では、医療機関9における個人の新規登録または既登録個人についての抹消または更新がないかどうかチェックする。変更があればステップS136に進み、大型コンピュータにその旨の登録、抹消、更新を行う。
また、個人の新規登録または既登録個人についての抹消は、多くの場合、医療機関の変更により生じるので、ステップS137で変更先の他の医療機関との個人データの引継ぎを行う。
つまり、他の医療機関から医療機関9に転入した結果新規登録となった場合には、元の医療機関の大型コンピュータに記録されていた個人の健康照合データおよび健康管理データを、転入した医療機関9の健康照合データ登録部23および総合健康データベース27にそれぞれ移管する。逆に、他の医療機関に転出した際には、医療機関9の健康照合データ登録部23および総合健康データベース27に保持されていた個人の健康照合データおよび健康管理データをそれぞれ転出先の医療機関に転送するとともに、医療機関9の大型コンピュータ22からは消去する。
なお、個人の誕生、死亡、または結婚による姓の変更など、健康管理の登録、抹消、更新の手続きが複数の医療機関にまたがらない場合、ステップS137の処理は省略される。
以上の処理の後、ステップS138に移行する。なお、ステップS135において個人の登録、抹消、更新がなければ直接ステップS133に移行する。
【0106】
ステップS138では、登録されている個人の健康照合データについて登録、抹消、更新がないかチェックする。健康照合データに異動があれば、ステップS139に進み、大型コンピュータ22の健康照合データ登録部23のデータを変更してステップS140に移行する。なお、健康照合データに異動がなければ、直接ステップS140に移行する。
【0107】
ステップS140では、登録されている個人による統計処理データ配信希望について登録、抹消、更新がないかチェックする。統計処理希望に異動があれば、ステップS141に進み、大型コンピュータ22の希望データを変更してステップS142に移行する。なお、統計処理希望に異動がなければ、直接ステップS142に移行する。
【0108】
ステップS142では、契約している個人のパソコンから医療機関9に送られる健康センサのデータまたは健康照合結果のデータを受信するための待機処理を行う。また、ステップS142では、契約している個人のパソコンに、健康照合データ、診断結果、統計処理情報など、種々の情報を送信する処理の待機を行う。以上で基本フローを終了する。
【0109】
図12は、医療機関9の大型コンピュータ22の制御部26における送信処理の詳細を示すフローチャートである。この送信処理は、図11のステップS143によって制御部26が待機状態なっているとき種々のトリガーによってスタートする。
送信処理がスタートすると、ステップS151で、健康照合データ登録部23においてある個人に対する健康照合データが新規登録されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS152に進み、その個人の使用しているパソコンに健康照合データの送信を行ってステップS153に移行する。例えば、健康照合データを新規登録したのがA居室2に入居している家族の一員なら、Aパソコン5に健康照合データを送信し、Aパソコン5は受信した健康照合データを健康照合データ保持部16に収納する。なお、健康照合データの新規登録によってトリガーがかかったのではないときは、直接ステップS153に移行する。
【0110】
ステップS153では、総合健康データベース27に保持されているデータに基づき、ある個人について健康照合ソフトよって新規に自動診断結果が出されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS154に進み、その個人の使用しているパソコンに自動診断結果の送信を行ってステップS155に移行する。なお、自動診断結果が出されたことによってトリガーがかかったのではないときは、直接ステップS155に移行する。
【0111】
ステップS155では、総合健康データベース27に保持されているデータに基づき、ある個人について医師25が診断入出力部28に診断結果を入力したことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS156に進み、その個人の使用しているパソコンに医師の診断結果を送信する。
【0112】
次いでステップS157に進み、自動診断結果と異なる医師の所見があるかどうかがチェックされる。医師の異所見があった場合はステップS158に進み、その旨の警告を個人のパソコンに併せて送信し、医師の所見が自動診断結果と異なることについて注意を喚起する。所見が異なるときは医師の所見が優先される。
次いで、ステップS159に進み、所見が異なった理由に基づいて健康照合ソフトを改変するための処理を開始させた後、ステップS160に移行する。
【0113】
ステップS155において医師の診断結果がない場合は、直接ステップS160に移行する。また、ステップS157において自動診断結果と異なる医師の所見がない場合も、直接ステップS160に移行する。
【0114】
ステップS160では、統計処理の希望を登録している個人に配信すべき統計データが作成されたことによってトリガーがかかったのかどうかがチェックされる。答えがイエスならステップS161に進み、その個人の使用しているパソコンに、統計データおよびその統計データ中でその個人がどんな位置にいるかの情報を送信して送信処理を終了する。なお、統計データの作成によりトリガーがかかったのではないときは、直ちに送信処理を終了する。
【0115】
図13は、図11のステップS134における引越し処理の詳細を示すフローチャートである。
引越し処理がスタートすると、まずステップS171で、家庭用開錠認証センサの新規登録であるかどうかをチェックする。新規登録であればステップS172に進んで新規の家庭用開錠認証センサを医療機関9の大型コンピュータ22に登録する。する。これによって登録された家庭用開錠センサ13が大型コンピュータ22の管理下に入り、家庭用開錠センサ13がで取得された健康管理データが大型コンピュータ22で処理されるようになる。
【0116】
次いで、ステップS173に進み、新規登録された家庭用開錠認証センサが設置されている居室に入居した家族に医療機関9に登録済の個人が含まれていないかどうかをチェックする。そして登録済みの個人が含まれていればステップS174に進む。この場合は、例えば、別の住居において医療機関9にすでに登録されていた個人が転居し、マンション1のA居室2に入居してAパソコン5から家庭用開錠認証センサ13の登録をしてきた場合に相当する。
そのような場合は、その個人の健康照合データが大型コンピュータ22の健康照合データ登録部23に既に登録されている可能性があるので、ステップS174でその有無をチェックする。そして、健康照合データが登録されていた場合はステップS175でその健康照合データをAパソコン5に送信してステップS176に移行する。Aパソコン5は受信した健康照合データを健康照合データ保持部16に保持させる。なお、ステップS174において健康照合データの登録がなければ、直接ステップS176に移行する。
【0117】
医療機関9に登録済みの個人であれば、その個人の健康管理データが大型コンピュータ22の総合健康データベース27に保持されている可能性があるので、ステップS176でこれをチェックする。そして、登録があればステップS177でその個人の健康管理データをAパソコン5に送信してステップS178に移行する。Aパソコン5は受信した個人健康管理データを個人健康データベース15に保持させる。このような過去の個人健康管理データは経時変化をAパソコン5にてローカルにチェックする際有用となる。なお、ステップS176において個人健康管理データの保持がなければ、直接ステップS178に移行する。
【0118】
ステップS171において、家庭用開錠認証センサの新規登録でなかったときは、直接ステップS178に移行する。また、ステップS173において、新規登録された家庭用開錠認証センサに関する家族中に医療機関9に登録済の個人が含まれていなかった場合も、直接ステップS178に移行する。
【0119】
ステップS178では、家庭用開錠認証センサ13の抹消であるかどうかをチェックする。抹消の必要性は、例えば、A居室2に居住していた家族が転居する場合に生じる。家庭用開錠認証センサ13の抹消であればステップS179に進み、家庭用開錠認証センサ13の登録を医療機関9の大型コンピュータ22から抹消する。登録されていた家庭用開錠認証センサ13は大型コンピュータ22の管理外となる。
【0120】
次いで、ステップS180に進み、Aパソコン5に認証照合データ消去信号を送る。Aパソコン5は、この消去信号に応答し、認証照合データ保持部14から転居する家族全員の認証照合データを消去する。本来、開錠認証は医療機関9の管理する領分ではないが、開錠認証データは個人のプライバシーに関する生体データであり、同じ家庭用開錠認証センサ13に関連しているので、転居の際に医療機関9はこのようなプライバシー保護のサービスも行う。
【0121】
次いでステップS181に移行し、医療機関9の健康照合データ登録部23に転居する家族中の個人の健康照合データが登録されているかどうかをチェックする。登録があれば、その健康照合データは医療機関期間9でそのまま保持する。そしてステップS182に進み、Aパソコン5に健康照合データ消去信号を送ってステップS183に移行する。Aパソコン5は、この消去信号に応答し、健康照合データ保持部16から転居する家族全員の健康照合データを消去する。なお、ステップS181において健康照合データの登録がなければ、直接ステップS183に移行する。
【0122】
ステップS183では、医療機関9の総合健康データベース27に転居する家族中の個人の健康管理データがバックアップされているかどうかをチェックする。バックアップがあれば、その健康管理データは医療機関期間9側でそのまま保持する。そしてステップS184に進み、Aパソコン5に健康管理データ消去信号を送って引越し処理を終了する。Aパソコン5は、この消去信号に応答し、個人健康データベース15から転居する家族全員の健康管理データを消去する。なお、ステップS183において健康管理データのバックアップがなければ、直ちに引越し処理を終了する。
【0123】
ステップS178において、家庭用開錠認証センサ13の抹消でなかったときはステップS185に進む。この場合は、家庭用開錠認証センサの新規登録でも抹消でもなかったことを意味し、引越しを伴わない家庭用開錠センサの更新であるので、ステップS185で更新処理を行い、引越し処理を終了する。
【0124】
以上の実施例1では、複数の家族が入居しているマンションにおける実施を例に説明してきた。しかしながら実施例1ようなシステムの実施は、これに限られるものではなく、複数の会社が入居している雑居ビルであって共通の入口を有するケース、または複数の部署が入居している事業所であって共通の入口を有するケースなどでも実施可能である。
【実施例2】
【0125】
図14は、本発明の生体認証兼健康管理システムの実施例2のブロック図である。複数の家族が入居しているマンションの入口およびその各居室ドアの開錠システムに関する点は実施例1と共通するが、携帯電話101を利用した点が実施例1と異なる。なお、マンション入口ロック制御システム8および医療機関9の構成は実施例1と共通する点が多いので、図1と共通のブロックには同一番号を付し、必要がない場合は説明を省略する。
また、実施例2の場合、各居室の玄関ドアにおけるロック制御システムは、マンション入口ロック制御システム8と同様の構成なので、図14における図示と説明を省略する。
【0126】
マンション入口ロック制御システム8の構成は、A近距離無線通信部102を有する。このA近距離無線通信部102としては、例えばブルートゥース(商標)、無線LAN、無線USBなどの通信システムが採用可能である。
実施例2の管理パソコン19は、実施例1と同様、マンション1のA居室2におけるAパソコン5などと通信可能であるが、さらに入口ロック20の開錠および健康管理データ処理のためにA近距離無線通信部102によって携帯電話101と通信可能となっている。マンション入口ロック制御システムのその他の構成は実施例1と共通である。
【0127】
医療機関9は、B近距離通信部103およびB電話通信部104を有する。B近距離通信部103は、A近距離通信部と共通の通信システムにより構成される。また、B電話通信部は携帯電話通信システムに従ったものである。
実施例2の医療機関9の大型コンピュータは、実施例1と同様、マンション入口ロック管理システム8やマンション1のA居室2におけるAパソコン5などと通信可能であるが、さらに健康管理データ処理のためにB近距離無線通信部103またはB電話通信部によって携帯電話101と通信可能となっている。医療機関9のその他の構成は実施例1と共通である。
【0128】
実施例2において、マンション入口の開錠を望む人は、携帯電話101を持ってマンション入口に近づく。管理パソコン19の認証トリガーは、実施例1と同様の人センサ58が人の接近を検知したことによっても可能であるが、併せて、A近距離無線通信部102の通信圏内に携帯電話101が入ったことをA近距離無線通信部102自体が検知することによってもトリガーがかかるようになっており、これらのいずれか早い方の検知によってトリガーがかかる。
業務用開錠認証センサ21に指が挿入されて情報が取得されると、管理パソコン19はその情報をA近距離無線通信部102から携帯電話101に送信する。携帯電話101には、A近距離無線通信部102と共通の通信システムに基づくC近距離無線通信部105が設けられている。
【0129】
A業務用開錠認証センサ21が取得した情報を近距離無線通信部102から受信したC近距離無線通信部105は、これを制御部106に送る。制御部106に送られた業務用開錠認証センサ21からの情報は、認証照合データ保持部107にあらかじめ登録しておいた認証照合データと照合される。そして、照合の結果、マンションへの入館資格がある人であることが認証されると、制御部106はその旨をC近距離無線通信部105からA近距離無線通信部102を経由して管理パソコン19に通知する。
管理パソコン19はこの通知に応じて入口ロック20に開錠信号を送る。一方、認証照合データと一致しなければ制御部106は同様のルートで管理パソコン19に不一致の旨通知する。この場合、管理パソコン19は入口ロック20に開錠信号を送らない。
【0130】
以上のように、実施例2においても、マンション入口ロック制御システム8の管理パソコン19自体には認証照合データの記録や照合機能はなく、単に照合結果が携帯電話101から通知されるだけである。このような配慮により、血管パターンや眼底パターンなどプライバシーにかかわる生体認証用の認証照合データは携帯電話101内に留められる。また、管理パソコン19自体に照合機能がなく、かつ照合結果が誰の携帯電話から来たものか分からないので、業務用開錠センサ21によって取得されるデータも誰のものかわからず、実施例1と同様にしてプライバシーが保護される。
【0131】
業務用開錠認証センサ21は、実施例1と同様、認証用の情報だけでなく、健康管理情報も取得できる。従って、業務用開錠認証センサ21による健康管理も可能となる。
つまり、A業務用開錠認証センサ21によって取得され、近距離無線通信部102からC近距離無線通信部105を経て制御部106に送られた情報は血液の成分情報や血管の若さなどの健康管理データを含んでいる。そこで、制御部106は、これらの健康管理データーを健康照合データ保持部108に登録されている携帯電話所有者本人の健康照合データと照合する。
実施例1と同様、健康管理データ保持部108には、健康指標となる値そのものだけでなく、その値の経時変化についての照合用経時変化データも登録されている。従って、制御部106は、業務用開錠認証センサ21から送られてくるその時々の健康管理データを健康照合データと照合するとともに、本人健康データベース109に蓄積されたデータに基づく健康指標の経時変化を健康照合データ保持部108に登録された照合用経時変化データと比較し、健康指標となる値の経時変化の速さなどの観点からも照合を行う。健康指標の値の照合結果および健康指標の経時変化の照合結果は、携帯電話の表示部110に表示される。この表示については、例えば照合の結果、異常と認められるときには警告音を発して携帯電話101の所有者が表示部110に注目するようにする。
【0132】
携帯電話101は、さらに実施例1のユーザ認証センサ18と同様の生体認証機能をもったユーザ認証センサ111を持っている。従って、携帯電話使用におけるユーザ認証の際にも、生体認証データと健康管理データの取得とを同時に行うことができる。
【0133】
携帯電話101は、また、電話中に健康情報を検知できる健康センサ112を有しており、ここから得られた情報についても業務用開錠認証センサ21やユーザ認証センサ111からの情報と同様、健康管理のために活用される。健康センサの例としてはマイク近辺に設けられる息成分センサや、スピーカ近辺またはイヤホンに設けられる耳式体温計などがある。健康センサ112は健康情報収集専用の機能をもっていればよく、必ずしも生体認証情報は得られなくてもよい。
【0134】
携帯電話101は、さらに、腕時計、ベルト、眼鏡、靴など、日常的な装身具に設けられた健康センサからの情報をC近距離無線通信部105で受信し、これらから得られた情報についても健康センサ112などからの情報と同様、健康管理のために活用する。
また、常に携帯電話の近辺にあるアイテムだけではなく、例えばマッサージ機などに設けた健康センサからの情報をC近距離無線通信部105で受信することによって、健康センサ112などからの情報と同様、健康管理のために活用することができる。
【0135】
図14における携帯電話101におけるC近距離無線通信部105は、以上のような元々他の用途のために提供されるアイテムに付加的に設けた健康センサからの情報を受け取って本人健康データベース109に記録する場合だけでなく、例えば医療機関9の待合室などに設置されている専用の血圧計によって得られた血圧データを血圧計に設けられたB近距離無線通信部103から受信し、本人健康データベース109に記録することもできる。
【0136】
また、C近距離無線通信部105を経て得られた情報や、ユーザ認証センサ111、健康センサ112から得られた情報については、健康照合データと照合した上で表示部110に表示する場合の他、照合なしに利用することもできる。例えば、単に本人健康データベース109に蓄積していき、蓄積された経時変化情報をそのままグラフにして表示部110に表示することも可能である。さらには、得られた情報をリアルタイムでそのまま表示部110に表示することも可能である。
このような、蓄積された経時変化情報をそのままグラフにして表示することは、図1の実施例1におけるテレビ17による表示でも可能である。また、得られた情報をリアルタイムでそのままテレビ17に表示することも可能である。
【0137】
携帯電話101は、当然のこととして、携帯電話本来の電話機能部113およびC電話通信部114を持っている。これらについては従来技術のとおりであるので説明は省略する。
説明の順序が逆になったが、C電話通信部114は医療機関9のC電話通信部と共通の携帯電話通信システムに準拠している。従って、携帯電話回線を通じたインターネットによって遠隔地においても携帯電話101と医療機関9は情報のやり取りが可能である。例えば、本人健康データベース109の内容をリアルタイムで送信して医療機関9にバックアップさせるとともに、医療機関9から自分自身の健康照合データや健康管理データ、診断結果などの配信を受けることができる。このように携帯電話101は、実施例1のAパソコンとほぼ同等の機能を持つとともに、さらに個人単位のプライバシーの保護が可能なものとなっている。
【0138】
携帯電話101と医療機関9との情報交換は、以上のように遠隔地においてB電話通信部104とC電話通信部114との間で行う他、健康照合データ登録のためなどで携帯電話101の使用者が医療機関9を実際に訪れたときには、医療機関9の通信スポットにおいてB近距離無線通信部103とC近距離無線通信部105との間で行うこともできる。
【0139】
図14の携帯電話101における制御部106の動作フローは、図7とほぼ同じである。但し、図7のステップS69におけるテレビ警告準備の代わりに、携帯電話101の表示部110での警告の準備を行う。これによって、その後表示部110がオンとなったとき自動的に「健康異常」の警告が行われる。
また、図14におけるマンション入口ロック制御システム8における管理パソコン19の制御部の動作フローも図10とほぼ同一である。但し、図10のステップS117における全居室への取得データ送信の代わりに、携帯電話101のC近距離無線通信部105へのデータ送信を行う。
【0140】
図14のような携帯電話101を利用したシステムの実施は、マンションや会社入口の開錠システムだけでなく、銀行における預金引き出しの本人確認など、お金や情報へのアクセスにおける個人認証に生体認証システムを導入している機関においても実施できる。
例えば、銀行における実施の場合、図14に「マンション入口ロック制御システム8」とあるのを「現金自動預け払い機」と読替えるとともに、図14に「業務用開錠認証センサ21」とあるのを「預金口座本人確認センサ」と読替え、さらに図14に「入口ロック20」とあるのを「預金引出し入力許可部」と読替えればよい。
上記の読み替えを行った図14において、携帯電話101を持った本人が「現金自動預け払い機」8に接近するとA近距離無線通信部102とC近距離無線通信部の交信が始まる。そして、「預金口座本人確認センサ」21に指を差し入れるとその情報が携帯電話101に送られて制御部106によって認証照合データ保持部107の照合データと比較され、一致していればその結果が管理パソコン19に送られてれ「預金引き出し入力許可部」20への預金引出し金額入力や預金引出し実行入力が可能となる。このように、生体認証における照合データの保持および照合は銀行側では行われないのでプライバシーが保護される。
また、「預金口座本人確認センサ」21から携帯電話101に送られてた情報には健康管理データも含まれているので携帯電話側でこれを表示したり、蓄積したり、健康初号データと比較したりすることができる。利用者に対するこのような利便は、銀行側のサービスとして捉えることができる。
【0141】
次に、開錠認証照合データの登録処理の詳細について説明する。
まず、実施例1の場合について説明すると、図15は、図4のステップS11における開錠認証照合データ登録処理の詳細を示すフローチャートである。フローがスタートすると、ステップS191でA居室2における玄関ドア10の開錠のための照合データを新規に登録する要求があるかどうかがチェックされる。要求があればステップS192に進み、
マンション入力照合データが既に認証照合データ保持部に登録済みかどうかチェックする。
登録済みでなければステップS193に進み、家庭用開錠認証センサ13からのセンサ出力の受信を待つ。この出力は、照合データ作成のために本人確認された個人の指を家庭用開錠認証センサ13に挿入することによって行われる。センサ出力の受信があればステップS194に進み、センサ出力に基づく照合データを仮登録する。
【0142】
一方、ステップS192においてマンション入力照合データが既に認証照合データ保持部に登録済みであれば、玄関ドア照合データとして共通に流用できる可能性があるのでス直接ステップS194に移行し、登録済みのマンション入力照合データをコピーしてこれを玄関ドア照合データとして仮登録する。
【0143】
次にステップS195に進み、家庭用開錠認証センサ13に再び指を挿入して同一である旨の照合が正常に行われるかどうかの確認を行う。ステップS195でこのような正常動作の確認ができればステップS196に進み、仮登録しておいた照合データを認証照合データ保持部14に本登録する。一方、正常動作の確認ができなければ、ステップS193に戻り、指を挿入し直して再度家庭用開錠認証センサ13からのセンサ出力を受信し照合データの仮登録をやり直す。登録済みのマンション入力照合データをコピーしてこれを玄関ドア照合データとして仮登録していた場合でも同様である。
ステップS195で正常動作の確認ができ、ステップS196で玄関ドア照合データの本登録が終わればステップS197に移行する。また、ステップS191で、玄関ドア照合データの新規登録が要求されていなければ、直接ステップS197に移行する。
【0144】
ステップS197では、マンション入口開錠のための認証照合データ新規登録が管理パソコン19によって要求されているかどうかがチェックされる。要求があればステップS198に進み、マンション入口ロック制御システム8において認証照合データ作成のために業務用開錠認証センサ21に指が挿入され、得られたセンサ出力に基づくデータが管理パソコン19から送信されるのを待つ。この管理パソコン19からのデータは、マンション入口ロック制御システム8において既に正常動作の確認が済んでいるものである。管理パソコン19からのデータが受信されるとステップS199に進み、管理パソコン19からのデータを仮登録する。
次いでステップS200に進み、管理パソコン19側の認証照合データを消去させるための信号を送信する。そして、ステップS201で認証照合データ消去済みの確認信号が管理パソコン19から送られてきたかどうかをチェックする。ステップS201において管理パソコン19側での認証照合データの消去が確認できれば、ステップS202に進み、ステップS199で仮登録しておいた認証照合データを認証照合データ保持部14に本登録して開錠認証照合データ登録処理を終了する。一方ステップS201において管理パソコン19側での照合データ消去が確認できない場合は、ステップS199に戻って管理パソコン19への消去信号送信からやり直す。
【0145】
以上のように、管理パソコン19から受信した認証照合データを認証照合データ保持部14に本登録することと管理パソコン19で用済みの認証照合データを消去することとはワンセットになっており、マンション入口ロック制御システム側で取得した認証照合データがそのまま残ってプライバシー侵害に悪用されることがないよう配慮している。このことは言い換えれば、管理パソコン19から受信した認証照合データが認証照合データ保持部14に確実に本登録しない限り、マンション入口ロック制御システム側で取得した認証照合データの消去はしないということを意味する。
なお、ステップS197で、マンション入口の開錠のための照合データの新規登録が管理パソコンによって要求されていなければ、直ちに開錠認証照合データ登録処理を終了する。
【0146】
なお、図15のフローでは、まず玄関ドア照合データの新規登録であるかどうかを問い、その後、マンション入口照合データの新規登録であるかどうかを問うているが、この順序は逆でもよい。つまり、ステップS197からステップS202のフローをステップS191の前においてもよい。
【0147】
図1におけるユーザ認証センサ18のための認証照合データを登録する際の制御部12のフローは、図15のステップS191から196と同様である。但し、ステップS191で「玄関ドア」とあるのを「ユーザ認証」と読替え、ステップS193において「家庭用開錠認証センサ」とあるのを「ユーザ認証センサ」と読替える。
また図14の実施例2における携帯電話101の認証照合データ保持部107に認証照合データを登録する際の制御部106の動作フローは、上記のような読替えを行った場合の図15のフローと同じである。
【0148】
図16は、図9のステップS110における開錠認証照合データ登録処理の詳細を示すフローチャートである。フローがスタートすると、ステップS211において、業務用開錠認証センサ21からのセンサ出力の受信を待つ。この出力は、照合データ作成のために本人確認された個人の指を業務用開錠認証センサ21に挿入することによって行われる。
センサ出力の受信があればステップS212に進み、センサ出力に基づく照合データを管理パソコンで保持する。
次にステップS213に進み、業務用開錠認証センサ21に再び指を挿入して同一である旨の照合が正常に行われるかどうかの確認を行う。ステップS213でこのような正常動作の確認ができればステップS214に進み、ステップS212で保持しておいた照合データをAパソコン5に送信する。一方正常動作の確認ができなければ、ステップS211に戻り、指を挿入し直して再度業務用開錠認証センサ21からのセンサ出力を受信し照合データの保持をやり直す。
【0149】
ステップS214において照合データを送信するとステップS215に移行し、管理パソコン側の照合データを消去せよとの旨の信号がAパソコン5から受信されたかどうかをチェックする。この信号の受信は、Aパソコンが照合データを正しく受信したことの確認の意味も持つ。
ステップS215で消去信号を受信するとステップS216に進み、管理パソコン19に保持していた照合データを消去するとともに、ステップS217で消去確認信号をAパソコン5に送信し、認証照合データ登録処理を終了する。一方、ステップS215で消去信号が受信できない場合、ステップS214に戻ってAパソコン5への照合データ送信からやり直す。
【0150】
以上のように、マンション入口ロック制御システムにおける照合データの登録にあたっては、個人のプライバシーを保護するため、最終的な認証照合データの保持はA居室2に任せる。しかしながら、その登録行為については管理を行い、個別に勝手な登録が行われてマンション入口ロックのセキュリティが損なわれるのを防止する。
なお、玄関ドアの開錠管理のために認証照合データの登録を行う場合は、家庭用開錠認証センサ13によって取得した認証照合データがA居室2の外に出ることはないので、その登録処理は簡便となっている。
【0151】
図14の実施例2における携帯電話101の認証照合データ保持部107に認証照合データを登録する際の管理パソコン19の動作フローは、図16と同様である。但し、上記の説明で「Aパソコン5」とあるのを「携帯電話101」と読替える。
【0152】
以上、図15、図16では、マンション入口ロック制御システム8用の認証照合データの登録は業務用開錠認証センサ21によって取得されたデータによって行っている。しかしながら、開錠認証の機能について業務用開錠認証センサ21が家庭用開錠認証センサ13またはユーザ認証センサ111など共通の場合は、家庭用開錠認証センサ13またはユーザ認証センサ111によって取得されたデータに基づいてマンション入口ロック制御システム8用の認証照合データの登録を行うよう構成してもよい。
但し、この場合は偽造を防ぐため、マンション入口ロック制御システム8との間で暗号キーをやり取りするなど、マンション入口ロック制御システム8における管理パソコン19の厳しい管理下でしか登録ができないようにする。
【実施例3】
【0153】
図17は、本発明の生体認証兼健康管理システムの実施例3に関するフローチャートである。実施例3のブロック図は図1と同様なので説明に当たってはこれを流用する。但し、Aパソコン5および管理パソコン19の機能が異なっている。具体的には、実施例1では開錠認証の照合をAパソコン5側で行い、照合結果に基づいてドアロック開錠信号を管理パソコン19に送信していた。これに対し、実施例3では、認証照合データをAパソコン5側から受け取った管理パソコン19自体で開錠認証の照合を行う。以下図17および図18に基づいて、その機能の詳細を説明する。
【0154】
実施例3のAパソコン5における制御部12は、マンション入口ロック制御システム8の制御にあたり、図7ではなく、図17のフローチャートに従って機能する。
マンション入口にの前に人が立ったことを管理パソコン19が検出し、この通知を受けたAパソコン5に認証トリガーがかかると図17のフローがスタートし、ステップS221において、まず玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS222に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS221に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0155】
ステップS222において指の挿入があるとステップS223に進み、認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致するかどうかがチェックされる。この一致確認は、受信した指データがA居室2の住人のものかどうかを確認するためであり、マンション入口のロック開錠のためではない。ステップS223で認証照合データとの一致があればステップS224に進み、管理パソコン19に認証照合データを送信する。以下、マンション入口のロック開錠制御は管理パソコン19に任される。
以上のように、ステップS222における指データの受信のチェックは、生体認証の際に認証照合データ保持部14に保持されている開錠認証照合データを管理パソコン19に送信する旨の要求の検知の意味を持っている。
なお、ステップS224における開錠認証照合データの送信では、これがAパソコンから送られたことを伏せる処置をとり、管理パソコン19側ではどこから開錠認証照合データが送られたかわからないようにする。
【0156】
次いでステップS225に進み、業務用開錠認証センサ19が健康管理データ取得に成功したかどうか、換言すれば、管理パソコンから受信した指データが健康管理データとして充分かどうかがチェックされる。成功しない場合とは、管理パソコン19から受信した指データが開錠照合には充分であるが、健康管理データとするには不十分である場合である。
ステップS225で健康管理データ取得が成功したことが確認されるとステップS226に進み、取得したデータを個人健康データベース15に蓄積する。個人健康データベース15に蓄積されたデータは医療機関9との契約により、ステップS226の段階でリアルタイムに大型コンピュータ22にも送信され、総合健康データベースに27にも蓄積される。これによって、個人健康データベースの内容がバックアップされるとともに、引越し等への対応も可能となる。
【0157】
また、このような個人健康データベース15のデータをリアルタイムで医療機関9に送信する契約は、例えば独居老人のケアシステムとしても機能する。健康管理データの取得はドアの出入りと連動して自動的に行われるので、健康データベース15の情報が医療機関9に何も送信されない日が続くということは、その期間ドアの出入りがなかったことを意味する。従って、このような場合、独居老人になんらかの事故があったと考えられるので医療機関9は即座にその対応をとる。
【0158】
次いで、ステップS227において、健康照合データ保持部16に照合データがあるかどうかをチェックし、データがあればステップS228に進んで、取得したデータとの照合処理を行う。そしてステップS229に進み、照合の結果健康管理データに異常があるかどうかをチェックする。異常があればステップS230に進み、テレビ17のスイッチを入れたとき自動的に「健康異常」の警告が行われるよう準備し、ステップS231に進む。ステップS229において異常がなければ、直接ステップS231に進む。
【0159】
ステップS231では、ステップS228の照合結果を個人健康データベースに蓄積する。個人健康データベース15に蓄積された照合結果のデータについても、医療機関9との契約により、ステップS231の段階でリアルタイムに大型コンピュータ22に送信され、総合健康データベースに27にも蓄積される。ステップS229で異常を検出した旨の情報も同時に大型コンピュータ22に送信され、総合健康データベースに27に蓄積される。
以上の処理を経てステップS232に至り、玄関ドアの前に人が立ってから所定時間経過したかどうかのチェックを再度行い、所定時間経過していればステップS233に進む。ステップS232の意味は図7のステップS72と同様である。
なお、ステップS227において、健康照合データ保持部16に照合データがなければ、照合関連の処理は不要なので、直接ステップS232に進む。
ステップS233では、ステップS224で管理パソコン19に送信した開錠認証照合データを消去した旨の管理パソコン19からの報告を待ち、報告があればマンション入口開錠処理を終了する。ステップS233の意味は管理パソコン19に開錠認証照合データが残り、プライバシーが侵害されるのを防止することにある。
【0160】
一方、ステップS225において、健康管理データの取得に失敗した場合は、ステップS234においてデータ取得失敗の旨の表示およびステップS235においてその理由の表示をし、ステップS232に至る。
また、ステップS221において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合は直ちにマンション入口開錠処理を終了する。
【0161】
さらに、ステップS223において開錠認証照合データが認証照合データ保持部14に保持されている開錠認証照合データのいずれかと一致しない場合は、受信した指データがA居室2の住人のものではないので、直ちにマンション入口開錠処理を終了する。換言すれば、指データは赤の他人のものなので、当然ながらステップS225以降の健康管理データとしての取り扱いは行わない。また、マンション入口開錠そのものは管理パソコン19に任されるので、開錠認証照合データ不一致の旨を管理パソコン19に通知することもない。
【0162】
実施例3の管理パソコン19における制御部53(図3参照)は、マンション入口ロック制御システム8の制御にあたり、図10ではなく、図18のフローチャートに従って機能する。
図18において、マンション入口にの前に人が立ったことを管理パソコン19が検出し、認証トリガーがかかるとフローがスタートし、ステップS241において、まずマンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間経過していなければステップS242に進み、業務用開錠認証センサ21への指の挿入が行われたがどうかをチェックする。指の挿入がなければステップS241に戻り、以下、所定時間が経過するまで指の挿入を待つ。
【0163】
ステップS242において指の挿入があって生体情報が取得できるとステップS243に進み、マンション入口ロック制御システムに加入している全居室に取得データを送信する。次いで、ステップS244において、いずれかの居室から開錠認証照合データを受信したかどうかチェックする。いずれかの居室から開錠認証照合データを受信すればステップS245に進む。
【0164】
実施例3では開錠認証の照合は管理パソコン19側で行うので、ステップS245では、ステップS244で受信した開錠認証照合データと業務用開錠認証センサ21が取得した指データとの照合を行い両者が一致するかどうかをチェックする。そして、両者が一致していればステップS246に進む。
【0165】
ステップS246では、いずれかの居室から健康管理データ取得失敗の旨の通知が入信されたかどうかチェックする。
ステップS246で健康管理データ取得失敗の旨の通知がいずれの居室からも受信されないことが確認されるとステップS247に進み、入口ロック20に開錠を指示する。入口ロック20はその指示に応じて開錠を実行する。
以上のステップS244およびステップS246における居室から管理パソコンへの開錠認証照合データの送信および健康管理データ所得失敗の送信においては、これらの送信がいずれの居室から行われたか管理パソコン19側ではわからないようにし、プライバシー保護に配慮する。
【0166】
入口ロック20開錠指示後、ステップS248に進み、ステップS242で取得した生体情報を消去する。これは、プライバシー保護の万全を期するためである。その後ステップS249に進み、再度マンション入口の前に人が立ってから所定時間経過したかどうかのチェックをおこなう。所定時間が経過していれば、ステップS250に進み、ステップS244で居室のいずれかから受信した開錠認証照合データを消去するとともに、その旨全居室に報告してマンション入口開錠処理を終了する。
【0167】
一方、ステップS246において、健康管理データの取得に失敗した旨の通知を受信したことが確認された場合は、ステップS251においてデータ取得失敗の旨の表示を行うとともに、ステップS252においてその理由の表示をし、ステップS247に至る。このように、健康管理データの取得に失敗した場合であっても、ステップS245で開錠印象照合結果が一致していれば、入口ロック開錠の指示を行う。
【0168】
ステップS241において、ドアの前に人が立ってから指を挿入しないまま所定時間が経過した場合はステップS253に移行し、入館拒否表示を行う。次いで、ステップS254において指が挿入されていない旨の拒否理由の表示を行った後、ステップS255に進む。
ステップS255では暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS247に移行して入口ロック開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS248からステップS250を経て開錠処理を終了するので、入口ロック20の開錠は行われない。なおこの場合、元々消去すべき生体情報の取得がないのでステップS248では実質的になにもしないのと同様の処理となるが、次にのべる事情および想定外の事故に対応して確実に消去を実行し、プライバシーを保護するため、ステップS248をこの位置に置いている。
【0169】
生体情報を得ている場合であって、ステップS244においていずれの居室からも開錠認証照合データを受信しない場合も、ステップS253に移行し、入館拒否表示を行とともに、ステップS254において入室拒否表示の理由表示を行う。
同様に、ステップS245において開錠認証照合データの照合結果が一致しない場合も、ステップS253に移行し、入館拒否表示を行とともに、ステップS254において入室拒否表示の理由表示を行う。
これらの場合も、その後、ステップS255に進み、暗証番号入力やICカード挿入などを行う補助認証を可能とし、補助認証が成功すればステップS247に移行してドアロックの開錠を指示する。補助認証が行われないかまたは補助認証が失敗したときは、ステップS248に進み、ステップS242で取得した生体情報を消去する。このように、認証ができなかった場合であっても取得した生体情報は消去し、プライバシーの保護を万全とする。
この場合、次のステップS249に進んで所定時間が経過していなければステップS241を経てステップS242に戻るので、指の挿入が不適切であった場合、ステップS254の理由表示を参考に指の挿入をやり直せばステップS243からステップS243に進むことも可能となる。
【0170】
以上、いずれの場合であっても、ステップS249を経由してステップS250に至るが、ステップS241またはステップS244を経由してステップS253に至っていた場合は受信した開錠認証照合データはないので、ステップS250では実質的に何も行われないのと等しい結果となる。しかし、プライバシー保護は重要な問題なので、想定外の事故にも備えるため、いずれの場合もマンション入口開錠処理を終了する前に必ず開錠認証照合データを消去するステップを通るようにしている。
【実施例4】
【0171】
実施例4は、図14の携帯電話101を利用した実施例において、実施例3のように、管理パソコン19側で開錠認証の照合を行うよう構成したものである。実施例4のブロック図は図14と同様であるのでこれを流用する。また、携帯電話101における制御部106の機能および管理パソコン19における制御部53の機能は、それぞれ図17および図18とほぼ共通なのでこれを流用するとともに大半の説明は省略し、異なっている部分のみコメントする。
【0172】
実施例4では、図17のステップS223を省略することが可能である。つまり、実施例3では送信されてくる指データが他の居室に居住する無関係の人のものである可能性があり、その場合は開錠認証照合データを送信する必要がないので、ステップS223でその確認を行っていた。これに対し、実施例4の場合、管理パソコン19から携帯電話101に送信される指データは現にマンション入口に立って業務用開錠認証センサに指を入れた本人のものなので、すぐステップS224に移行して開錠人諸照合データを送信してよいからである。
また、実施例4では、実施例2と同様、図17のステップS230におけるテレビ警告準備の代わりに、携帯電話101の表示部110での警告の準備を行う。これによって、その後表示部110がオンとなったとき自動的に「健康異常」の警告が行われる。
【0173】
図18の管理パソコンのフローにおいても、実施例4では、実施例2と同様、ステップS243における全居室への取得データ送信の代わりに、携帯電話101のC近距離無線通信部105へのデータ送信を行う。
さらに、ステップS242とステップS243の間に「健康管理データ供給契約ユーザ?」を問うステップを挿入し、契約ユーザのときにステップS243に進むとともに、契約ユーザでなければ「開錠認証照合データ送信要求」のステップを経てステップS244に進むようにする。このように実施例4の場合、管理パソコン19は相手の携帯電話との契約に従って指データを送信するかどうかの決定を行う。
なお、健康管理データ供給契約ユーザでない携帯電話における処理は非常に簡単なので、図17を流用して異なる点のみコメントする。まず、ステップS222は「開錠認証照合データ送信要求?」と読代える。そして、ステップS223、ステップS225からステップS231、ステップS234、およびステップS235を省略する。つまり、契約ユーザでない携帯電話では、開錠認証照合データの送信とその消去報告の確認のみが行われる。
【0174】
次に、センサチェック処理の詳細について説明する。これは、上記の実施例1から実施例4まで共通なので、実施例1を例にとって説明する。
図19は図4のステップS12におけるセンサチェック処理の詳細を示すものであり、フローがスタートするとステップS261で、家庭用開錠認証センサ13に変更があったかどうかをチェックする。変更があった場合、ステップS262に進み、まず、家庭用開錠認証センサ13に指が挿入されていない状態での出力信号を取得する。次いでステップS263でテスト的に指が挿入されるのを待ち、指挿入があってその状態での信号が取得されるとステップS264に進む。
ステップS264では、基本信号に異常がないかどうかをチェックしており、具体的には、指を入れない状態での出力をベースにしたときに指を入れた状態で所定の出力が得られるかをチェックする。もし異常があればステップS265において基本調整処理を行い、ステップS266に移行する。異常がなければ直接ステップS266に移行する。
【0175】
ステップS266ではクロスチェック信号の送信が行われる。具体的には、共通の生体情報取得項目について、指を入れない状態において家庭用開錠認証センサ13と業務用開錠認証センサ21にチェック信号を送り、業務用開錠認証センサ21の応答信号をベースにしたときに家庭用開錠センサ13から所定の出力が得られるかをチェックする。もしこのようなクロスチェックの結果に異常があればステップS268において業務用開錠認証センサ21を基準に家庭用開錠センサ13の出力が所定の範囲になるようクロス調整処理を行い、ステップS269に移行する。異常がなければ直接ステップS269に移行する。なお、ステップS261において家庭用開錠認証センサに変更がなければ直接ステップS269に移行する。
【0176】
ステップS269では、前回の定期チェック後所定時間が経過して定期チェックの時期に来ているかどうかを確認する。なおこの定期チェックは短時間間隔で頻繁に行ってもよい。ステップS269で定期チェック時期に来ていると判断された場合、ステップS270で所定の定期チェックを行う。具体的にはステップS266と同様、指を入れない状態において家庭用開錠認証センサ13と業務用開錠認証センサ21にチェック信号を送り、その結果を見る。そして定期チェックの結果に異常があればステップS271に移行して定期調整処理を行い、ステップS272に移行する。異常がなければ直接ステップS272に移行する。なお、ステップS269においてまだ定期チェック時期ではないと判断された場合も直接ステップS272に移行する。
【0177】
ステップS272では、ステップS265、ステップS268、およびステップS271において必要に応じ行われた自動調整処理がすべて成功したかどうかを確認し、自動調整処理ができなかった場合はステップS273に移行してその旨のテレビでの警告を準備する。ステップS273におけるテレビ警告のやり方は、図7のステップS70と同様なのでこれに関して先に行った説明はステップS273においても流用することとし、ここでは繰り返さない。
【0178】
図9のステップS111における管理パソコン19によるセンサチェック処理の詳細は基本的には図19と同様である。但し、ステップS266からステップS268におけるクロスチェックは省略される。因みに、ステップS270からステップS271における定期チェックは業務用開錠認証センサ21のみを対照に実施する。また、ステップS273のテレビ警告に代え、自動調整処理ができなかったときは管理パソコン19のモニタでその旨警告する。
以上のように、業務用開錠認証センサ21のチェックおよび調整は管理パソコン19が行い、その結果を信頼することを前提に、Aパソコン5による図19のステップS266からステップS268におけるクロスチェックでは、業務用開錠認証センサ21を基準に家庭用開錠認証センサ13のチェックおよび調整を行う。
【0179】
次に、蓄積データ照合処理の詳細について説明する。これは、上記の実施例1から実施例4まで共通なので、実施例1を例にとって説明する。
図20は図8のステップS84における蓄積データ照合処理の詳細を示すものであり、フローがスタートするとステップS281で、組合せ可能な異種の複数の生体認証センサ情報が蓄積されているかどうかをチェックし、蓄積されていればステップS282でこれらを組み合わせて照合する準備をしてステップS283に移行する。組合せ可能な情報が蓄積されていなければ直接ステップS283に移行する。
組合せ可能な生体認証センサ情報とは例えば、血管センサ情報、眼底センサ情報、声紋センサ情報などであり、あわせて健康管理情報の取得も可能なセンサ情報である。複数の生体認証センサ情報の組合せは、生体認証のエラーを減少させるとともに、より高度の健康管理を実現する意義がある。
【0180】
ステップS283では、それ自身生体認証のための情報は持たないが、生体認証データを取得する生体自身の条件に関する情報が蓄積されているかどうかをチェックし、蓄積されていればステップS284でこれらを組み合わせて照合する準備をしてステップS285に移行する。生体条件の情報が蓄積されていなければ直接ステップS285に移行する。生体認証データを取得する時点での生体条件の情報としては例えば、体温、血圧、脈拍数などの情報がある。
【0181】
なお、生体認証データを取得する生体自身の条件に関する情報としては、上記のものの他、次のようなものが有用である。
まず、実施例2の携帯電話101のように、本人健康データベース109が常に持ち歩かれる場合、携帯電話101に歩数系を設ければ、生体認証データを取得する時点での生体自身の条件だけでなく、生体認証データを取得する時点までの運動量の履歴も本人健康データベース109に蓄積することができる。このような場合、例えば生体認証データを取得する時点での脈拍数が同じであっても、それが過去一ヶ月間ウオーキングを続けてきた結果なのかそれとも特に運動に努めなかった結果なのかで健康照合データとの照合や健康判断が異なって来る。このように生体認証データを取得する生体自身の条件については、生体自身の運動負荷の履歴などの情報も有用である。
また、生体認証データを取得する生体自身の条件としては、本人だけでなく家族の病歴などに関する情報も有用である。例えば、生体認証データを取得する時点での本人の血圧が同じであっても、親や祖父母などの高血圧病歴がある人とない人では、危険因子が異なり、健康照合データとの照合や健康判断が異なって来るからである。
医療機関9における健康照合データ登録にあたっては、健康照合ソフト24または医師25の判断により上記の種々に因子が加味され、このようにして登録された健康照合データがどのようなものであるかによって、要求される照合の仕方も異なってくる。
【0182】
ステップS285では、生体認証データや生体自身の条件を取得する際の外部の条件に関する情報が蓄積されているかどうかをチェックし、蓄積されていればステップS286でこれらを組み合わせて照合する準備をしてステップS287に移行する。外部条件の情報が蓄積されていなければ直接ステップS287に移行する。
外部条件の情報とは図3の外部条件センサ57によって取得される情報であって、例えば気温、湿度、風速などの気象条件である。
【0183】
ステップS287では、生体認証データ、生体自身の条件、外部条件を取得した時刻の情報が蓄積されているかどうかをチェックする。蓄積されていればステップS288において異なる日付の同時刻における生体認証データ、生体自身の条件、外部条件を抽出し、同時刻同士の情報を照合する準備をする。特に開錠センサにより健康管理データを取得した場合、出勤時刻などに合わせて規則正しいデータが日々抜けなく蓄積されるのでデータ収集の効率が高い。
さらに、ステップS289においては、同じ日の時刻情報に基づき、生体認証データ、生体自身の条件、外部条件が朝から昼、そして夜への日周変化に応じてどのように変わるかを照合する。
ステップS288およびステップS289の処理を終わると、ステップS290に移行する。時刻情報が蓄積されていなければ、直接ステップS290に移行する。
【0184】
ステップS290では、生体認証データ、生体自身の条件、外部条件を取得した日付の情報が所定期間分蓄積されているかどうかをチェックする。蓄積されていればステップS291において大きな季節変化に応じて生体認証データ、生体自身の条件、外部条件がどのように変化するかを照合する準備をし、ステップS292に移行する。春夏秋冬の季節の流れの中で生体情報もこれに影響されて変化する可能性があるので、ステップS291によってその因果関係を把握することが可能となる。日付情報が意味のある照合に充分な期間分蓄積されていなければ、直接ステップS292に移行する。
【0185】
ステップS292では、生体認証データ、生体自身の条件、外部条件の経時変化を見る場合において、前回の経時変化照合以降、所定の蓄積期間分蓄積されているかどうかチェックする。蓄積されていればステップS293において生体認証データおよび生体自身の条件の経時変化を照合する準備をし、ステップS294に移行する。経時変化のチェックは特に変化の早さに意味があり、病状の急変の発見にもつながる意義がある。経時変化を見るのに意味のある期間のデータの蓄積がなければ、直接ステップS294に移行する。
【0186】
ステップS295では、ステップS282、ステップS284、ステップS286、ステップS288、ステップS289、ステップS291、およびステップS293における準備に基づき、得られた生体情報同士の照合、対応する健康照合データとの照合、およびそれらの組合せとして実行する。
【0187】
図21は、実施例1から実施例4において共通に実施できる玄関ドアの詳細模式図である。図21において玄関ドア10はその断面が図示されており、玄関ドア10の左側がA居室外側、右側がA居室内側である。また、玄関ドアに関連するその他の構成は、図1のドアロック11、家庭用開錠認証センサ13、および入室拒否、健康データ取得失敗などの報知部にほぼ対応している。
各構成を具体的に説明すると、まず、玄関ドア10の外側には電子ペーパーなどからなる電子表札201が配置されている。この電子表札201は、通常は表札を表示しているが、玄関ドア10の内側に配置された回路部202を通じたAパソコン5の制御を受けており、必要に応じ入室拒否表示、健康データ取得失敗表示などを行う報知部を兼ねている。
回路部202は、共通光源部203および共通受光部204とともに家庭用開錠認証センサ13を構成しており、Aパソコン5の制御を受ける。また、ノブ/ロック機構205は回路部202とともにドアロック11を構成しており、Aパソコン5の制御を受ける。
なお回路部202から出ている各制御ラインは、図21では模式的に玄関ドアの内側に露出しているように図示しているが、実際には玄関ドア10の内部に配線される。
【0188】
ノブ/ロック機構205は、玄関ドア10の開閉の際に操作するドアノブとロック機構を備えたもので、玄関ドア10の外側および内側のいずれからも操作可能となっている。なお、ノブ/ロック機構205は、外側からはロックが開錠されない限りドアノブを操作しても玄関ドア10を開けることができないが、内側からはドアノブを操作すれば玄関ドア10を開けることができるよう構成される。
共通光源部203および共通受光部204は玄関ドア10の外側および内側で生体情報を取得するとることができるように構成されており、ノブ/ロック機構205を挟んで配置されている。これによって玄関ドア10の外側および内側のいずれからノブ/ロック機構205を操作する場合でも、その操作に伴って指が自然に共通光源部203および共通受光部204の間に入り、生体情報が取得できるようになっている。
【0189】
そして、玄関ドア10の外側からノブ/ロック機構205を操作した場合、その操作に伴って生体情報が取得され、これが認証されて正当な住人であることが確認されるとドアロックが自動開錠されるので、そのままドアを開けることができる。この一連の処理は高速で行われるので、正当な住人の場合、ノブ/ロック機構205の操作により何の抵抗もなく玄関ドア10が開くような感覚でA居室2に入ることができる。
なお、玄関ドア10の内側からノブ/ロック機構205を操作した場合は、生体認証なしにロックが開錠されるので生体認証の必要はないが、玄関ドア10を出る際にも健康データを取得する目的で、玄関ドア10の内側でも生体情報を取得することができるように構成している。これは、特に朝の出勤時などに規則正しく健康管理データを取得するためである。
【0190】
次に共通光源部203と共通受光部204の構成の詳細について説明する。共通光源部203の光源206は玄関ドア10の内側に配置されており、生体情報取得のための光を内側のドアノブに向けて照射する。一方、光源206の光は玄関ドア10の外側に向けても照射され、これが導光部207によって下方に屈曲されて外側のドアノブに向けて照射される。以上の構成によって、玄関ドア10の外側に光源206を配置することなく、生体情報取得のための光を外側のドアノブに向けて照射することができる。
共通光源部204のセンサ208は玄関ドア10の内側に配置されており、光源206から照射されて内側のドアノブを操作する指を透過した光を受光することができる。一方、導光部207から照射されて外側のドアノブを操作する指を透過した光は、導光部209に入射するとともに玄関ドア10の内側に向けて屈曲され、これがセンサ208により受光される。以上の構成によって、玄関ドア10の外側にセンサ208を配置することなく、玄関ドア10の外部で取得された生体情報取得のための光を受光することができる。
【0191】
以上の共通光源部203および共通受光部204の構成は、既に述べたように共通の光源206とセンサ208によって玄関ドア10の内側および外側の両方で生体情報を取得することができる利点があるが、他にも利点がある。
つまり、光源206とセンサ208が回路部202とともに玄関ドア10の内側に設けられる構成は、比較的高価なこれらの部品が、気候の変化やいたずらなどによって外部から損傷をうけることを防止できる利点がある。このように、導光部207および導光部209は、図3の保護ユニット52としての意味もある。図3の保護ユニット52と同様、導光部207および導光部209も光源206やセンサ208と独立に交換や調整ができるよう構成される。
なお、生体認証センサにおいて、ドアの外側に露出する部分を極力減らし、構成の主要部をドアの内側に設けることによる上記の利点は、図21においてドアの内側で生体認証する機能を省略する場合でも同様に享受できるものである。
【0192】
生体認証センサは外部環境に曝されるので光源部の光照射口やセンサの受光口に付着する汚れやゴミ、また検出光路を妨害する異物の挿入によって検出が不可能になったり検出性能が劣化したりする問題がある。これに対しては、光照射口、受光口、検出光路の清掃などのメンテナンスで対応する必要がある。
図21では、生体認証を求める際にノブ/ロック機構205を機械的に操作するので、光照射口と受光口に機械的なワイパーを設けておき、ノブ/ロック機構205の操作に連動してこれらのワイパーを作動させるようにする。また、検出光路の妨害異物の除去については、ドアノブを操作する指が光路を横切って挿入されるので、指自体によって除去される。
なお、上記のような人力による清掃に代え、ワイパーを定期的に電動で動作させることも可能である。
【実施例5】
【0193】
図22は、実施例5における個人認証データおよび健康管理データのデータ構造図である。実施例1から実施例4においては、個人認証データおよび健康管理データが、健康照合データ保持部、個人または本人健康データベース、認証照合データ保持部などに分かれて保持される姿を示したが、実施例5ではこれらのデータが統一したデータ形式に従って保持される。図22はそのデータ形式のデータ構造図を示したものであって、実施例1から実施例4は、このような実施例5によるデータ保持のしかたで実施することが可能である。
【0194】
実施例5の統一データ形式では、基本的には各データが一つの統合されたデータファイルとして管理される。統一データファイルは図22に示すように、個人認証データ301、健康管理データ302、参考条件データ303、医療機関管理データ304に分かれているが、共通の関連付けコード305、306、307、308によって全体的に一つのファイルのように関連付けられている。
【0195】
実施例5の統一データ形式では、基本的には各データが一つの統合されたデータファイルにまとめられて管理される。統一データファイルは、図22に示すように、個人認証データファイル301、健康管理データファイル302、参考条件データファイル303、医療機関管理データファイル304に分かれており、必要に応じそれぞれ独立したファイルとして扱うこともできるが、共通の関連付けコード305、306、307、308によって通常は全体的に一つのファイルとして扱うことができるよう関連付けられている。
ファイル内の各データへのアクセス権は目的に応じ異なっているがそれについては以下で詳述する。
【0196】
個人認証データファイル301には、氏名、住所、電話番号など個人を特定するための基本データ309、性別、生年月日などその他の個人属性が含まれる個人属性データ310、各居室の玄関ドア照合データなどのローカル生体認証照合データ311、およびマンション入口照合データなどの共用生体認証照合データ312などが含まれる。
共用生体認証照合データ312以外は使用者本人による登録ができるが、共用生体認証照合データ312は、マンション入口ロック制御システム8の管理パソコン19など共用システムの管理下でしか登録できない。また、ローカル生体認証照合データ311、共用生体認証照合データ312については医療機関9からのアクセスはできない。
なお、認証照合の際に共用生体認証照合データ312がマンション入口ロック制御システム8などに送信されるときは、氏名、住所、電話番号など個人を特定するための基本データ309、性別、生年月日などその他の個人属性が含まれる個人属性データ310、各居室の玄関ドア照合データなどのローカル生体認証照合データ311については一切伏せられ、共用生体認証照合データ312が誰のものなのかわからないようにされる。
【0197】
健康管理データファイル302には、日付時刻つきで取得した健康管理データを格納する日付時刻つき個人健康データベース313、データ取得時生体条件データベース314データ取得時外部条件データベース、315、および照合結果データベース316がなど含まれる。
これらの健康管理データに関しては、マンション入口ロック制御システム8などの生体認証を目的とするシステムはアクセスすることができない。なお、本人がこれらのデータを利用するときは、ローカル生体認証照合データ311との照合結果が一致した場合のみアクセスが可能となるので、他人が見ることはできない。
【0198】
参考条件データファイル303には、歩数系によるウオーキング実施状況などの健康維持活動履歴データ317、家族病歴データ318などが含まれる。
これらのデータも個人の健康管理が目的なので、マンション入口ロック制御システム8などの生体認証を目的とするシステムはアクセスすることができない。これらの参考条件データについても、プライバシーを守るため、本人が利用するときは、ローカル生体認証照合データ311との照合結果が一致した場合のみアクセスが可能となる。
【0199】
医療機関管理データファイル304には、医療機関9の管理下で取り扱うべきデータがまとめられている。医療機関9は生体認証に関するローカル生体認証照合データ311や共用生体認証照合データ312に関与しないし、本人でもないので、これらのデータによって健康管理データにアクセスすることもできない。従って、本人の了解の下に健康管理用暗証番号319を決めておき、これを医療機関管理データファイル304に保持させる。従って、医師などが健康管理データにアクセスするときはこの健康管理用暗証番号を入力する。
医療機関管理データファイル304には、さらに、医療機関IDコード320、健康照合データ321、医師診断データが含まれる。これらのデータは医療機関9によって管理され、本人といえども勝手に書き換えることはできない。
また、健康照合データ321は登録後Aパソコンや携帯電話に提供されるが、医師診断データ322は基本的には告知の問題もあるので所定の手続きを経なければ本人のアクセスはできない。
【産業上の利用可能性】
【0200】
本発明は、生体認証システムに適用することができる。
【符号の説明】
【0201】
8 第一部分
5、101 第二部分
19 管理部
20 利用部
14、107 保持部
21 情報取得部
19 第一伝達部
5 第二伝達部
51、52 交換可能な情報取得部
【特許請求の範囲】
【請求項1】
第一部分と第二部分とを有し、前記第一部分には、照合用生体情報の登録を管理する管理部と、生体認証結果を利用する利用部とを設けるとともに、前記第二部分には、前記管理部の管理下で登録された照合用生体情報を保持する保持部を設けたことを特徴とする生体認証システム。
【請求項2】
前記第一部分は複数の人間によって共通に使用されるものであるとともに、前記第二部分は特定の人間によって使用されるものであることを特徴とする請求項1記載の生体認証システム。
【請求項3】
前記第一部分は前記照合用生体情報を保持しないことを特徴とする請求項2記載の生体認証システム。
【請求項4】
前記第一部分は複数の人間が出入りする共通の入口のロック制御システムであるとともに、前記利用部は生体認証結果に応じて前記共通の入口の開錠を行うことを特徴とする請求項2又は3記載の生体認証システム。
【請求項5】
前記第二部分は前記共通の入口を出入りする特定の人間によって管理されることを特徴とする請求項4記載の生体認証システム。
【請求項6】
前記第二部分は、前記共通の入口を通る個別の人間によって保持されることを特徴とする請求項5記載の生体認証システム。
【請求項7】
前記第一部分は銀行の個人認証システムであるとともに、前記利用部は生体認証結果に応じて銀行取引者の個人認証を行うことを特徴とする請求項1記載の生体認証システム。
【請求項8】
前記第二部分は、携帯電話であることを特徴とする請求項1から7のいずれかに記載の生体認証システム。
【請求項9】
前記第一部分は前記照合用生体情報を取得する情報取得部を有するとともに、前記情報取得部によって取得された照合用生体情報を前記第二部分に伝達する第一伝達部を有することを特徴とする請求項1から8のいずれかに記載の生体認証システム。
【請求項10】
前記管理部は前記情報取得部によって取得された照合用生体情報が前記保持部に保持されたあと、第一部分からこれを消去することを特徴とする請求項9記載の生体認証システム。
【請求項11】
前記管理部は、前記情報取得部によって取得された照合用生体情報が前記保持部に保持されないかぎり、第一部分からこれを消去しないを特徴とする請求項10記載の生体認証システム。
【請求項12】
前記第二部は、生体認証を求める際に前記保持部に保持された照合用生体情報に関連する情報を前記第一部分に伝達する第二伝達部を有することを特徴とする請求項9から11のいずれかに記載の生体認証システム。
【請求項13】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得も可能であることを特徴とする請求項12記載の生体認証システム。
【請求項14】
前記第一伝達部は、前記情報取得部が取得した認証用生体情報を前記第二部分に伝達するとともに、前記第二部分には、伝達された認証用生体情報を前記保持部の照合用生体情報と照合する照合部を有し、前記第二伝達部は、前記照合部による照合結果を照合用生体情報に関連する情報として前記第一部分に伝達するとともに、前記利用部はこれを生体認証結果として利用することを特徴とする請求項13記載の生体認証システム
【請求項15】
前記第二伝達部は、生体認証を求める際に前記保持部の照合用生体情報を前記第一部分に伝達するとともに、前記第一部分は、伝達された照合用生体情報を前記情報取得部が取得した認証用生体情報と照合する照合部を有し、前記利用部は前記照合部による照合結果を生体認証結果として利用することを特徴とする請求項13記載の生体認証システム
【請求項16】
前記第二部分は前記照合用生体情報を取得する情報取得部を有するとともに、前記管理部の管理下において前記照合用生体情報の取得および前記保持部への保持を行うことを特徴とする請求項1から8のいずれかに記載の生体認証システム。
【請求項17】
照合用生体情報の登録を管理する管理部と、生体認証結果を利用する利用部と、生体認証を求める際に照合用生体情報に関連する情報の伝達を受ける伝達部とを有することを特徴とする生体認証システム。
【請求項18】
前記管理部が管理して登録した照合用生体情報を保持しないことを特徴とする請求項17記載の生体認証システム。
【請求項19】
複数の人間が出入りする共通の入口のロック制御システムとして構成され、前記利用部は生体認証結果に応じて前記共通の入口の開錠を行うことを特徴とする請求項17又は18記載の生体認証システム。
【請求項20】
前記照合用生体情報を取得する情報取得部を有するとともに、前記情報取得部によって取得された照合用生体情報を伝達する伝達部を有することを特徴とする請求項17から19のいずれかに記載の生体認証システム。
【請求項21】
前記管理部は前記情報取得部によって取得された照合用生体情報が前記保持部に保持されたあと、これを消去することを特徴とする請求項17記載の生体認証システム。
【請求項22】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得も可能であることを特徴とする請求項21記載の生体認証システム。
【請求項23】
前記情報取得部が取得した認証用生体情報を伝達するとともに、前記利用部は、これに応答して伝達された照合用生体情報に関連する情報を生体認証結果として利用することを特徴とする請求項22記載の生体認証システム
【請求項24】
生体認証を求める際に伝達される照合用生体情報を前記情報取得部が取得した認証用生体情報と照合する照合部を有し、前記利用部は前記照合部による照合結果を生体認証結果として利用することを特徴とする請求項22記載の生体認証システム
【請求項25】
前記情報取得部が前記利用部とは別に交換可能となっているとともに、前記情報取得部の動作確認部を有することを特徴とする請求項22記載の生体認証システム
【請求項26】
照合用生体情報を保持する保持部と、生体認証を求める際に前記保持部が保持する照合用生体情報に関連する情報を伝達する伝達部とを有することを特徴とする生体認証システム。
【請求項27】
前記保持部に保持される照合用生体情報が複数の人間が出入りする共通の入口の開錠に利用されるものであるとともに、前記共通の入口を出入りする特定の人間によって管理されることを特徴とする請求項26記載の生体認証システム。
【請求項28】
前記共通の入口を通る個人によって保持されることを特徴とする請求項27記載の生体認証システム。
【請求項29】
前記保持部に保持される照合用生体情報が銀行の個人認証システムに利用されるものであるとともに、銀行取引者個人によって管理されることを特徴とする請求項26記載の生体認証システム。
【請求項30】
携帯電話として構成されることを特徴とする請求項26記載の生体認証システム。
【請求項31】
認証データの伝達を受ける受領部と、前記受領部が受領した認証用生体情報を前記保持部の照合用生体情報と照合する照合部を有し、前記伝達部は、前記照合部による照合結果を照合用生体情報に関連する情報として伝達することを特徴とする請求項26記載の生体認証システム
【請求項32】
生体認証を求める際に照合用生体情報の伝達要求を検知する検知部を有し、前記伝達部は前記検知部の検知に基づいて前記保持部が保持する照合用生体情報を照合用生体情報に関する情報として伝達することを特徴とする請求項26記載の生体認証システム
【請求項33】
生体認証結果を利用する利用部と、前記利用部とは別に交換可能に設けられ生体情報を取得する情報取得部と、前記情報取得部が正常に動作するかどうか確認する確認部とを有することを特徴とする生体認証システム。
【請求項34】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得を行うとともに、認証用生体情報と照合するための照合用生体情報の取得を行うことを特徴とする請求項33記載の生体認証システム。
【請求項35】
前記確認部は前記情報取得部からの情報に基づいて前記情報取得部が正常に動作するかどうかを確認することを特徴とする請求項33または34記載の生体認証システム。
【請求項36】
前記情報取得部はそれぞれ別に交換可能なセンサー部および前記センサー部を保護する保護部を有することを特徴とする請求項33から35のいずれかに記載の生体認証システム。
【請求項37】
前記確認部は、前記保護部の状態を前記センサー部とは独立に確認することを特徴とする請求項36記載の生体認証システム。
【請求項38】
前記確認部は、情報取得部交換の際にその動作調整を行う調整部を有することを特徴とする請求項33から37記載の生体認証システム。
【請求項1】
第一部分と第二部分とを有し、前記第一部分には、照合用生体情報の登録を管理する管理部と、生体認証結果を利用する利用部とを設けるとともに、前記第二部分には、前記管理部の管理下で登録された照合用生体情報を保持する保持部を設けたことを特徴とする生体認証システム。
【請求項2】
前記第一部分は複数の人間によって共通に使用されるものであるとともに、前記第二部分は特定の人間によって使用されるものであることを特徴とする請求項1記載の生体認証システム。
【請求項3】
前記第一部分は前記照合用生体情報を保持しないことを特徴とする請求項2記載の生体認証システム。
【請求項4】
前記第一部分は複数の人間が出入りする共通の入口のロック制御システムであるとともに、前記利用部は生体認証結果に応じて前記共通の入口の開錠を行うことを特徴とする請求項2又は3記載の生体認証システム。
【請求項5】
前記第二部分は前記共通の入口を出入りする特定の人間によって管理されることを特徴とする請求項4記載の生体認証システム。
【請求項6】
前記第二部分は、前記共通の入口を通る個別の人間によって保持されることを特徴とする請求項5記載の生体認証システム。
【請求項7】
前記第一部分は銀行の個人認証システムであるとともに、前記利用部は生体認証結果に応じて銀行取引者の個人認証を行うことを特徴とする請求項1記載の生体認証システム。
【請求項8】
前記第二部分は、携帯電話であることを特徴とする請求項1から7のいずれかに記載の生体認証システム。
【請求項9】
前記第一部分は前記照合用生体情報を取得する情報取得部を有するとともに、前記情報取得部によって取得された照合用生体情報を前記第二部分に伝達する第一伝達部を有することを特徴とする請求項1から8のいずれかに記載の生体認証システム。
【請求項10】
前記管理部は前記情報取得部によって取得された照合用生体情報が前記保持部に保持されたあと、第一部分からこれを消去することを特徴とする請求項9記載の生体認証システム。
【請求項11】
前記管理部は、前記情報取得部によって取得された照合用生体情報が前記保持部に保持されないかぎり、第一部分からこれを消去しないを特徴とする請求項10記載の生体認証システム。
【請求項12】
前記第二部は、生体認証を求める際に前記保持部に保持された照合用生体情報に関連する情報を前記第一部分に伝達する第二伝達部を有することを特徴とする請求項9から11のいずれかに記載の生体認証システム。
【請求項13】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得も可能であることを特徴とする請求項12記載の生体認証システム。
【請求項14】
前記第一伝達部は、前記情報取得部が取得した認証用生体情報を前記第二部分に伝達するとともに、前記第二部分には、伝達された認証用生体情報を前記保持部の照合用生体情報と照合する照合部を有し、前記第二伝達部は、前記照合部による照合結果を照合用生体情報に関連する情報として前記第一部分に伝達するとともに、前記利用部はこれを生体認証結果として利用することを特徴とする請求項13記載の生体認証システム
【請求項15】
前記第二伝達部は、生体認証を求める際に前記保持部の照合用生体情報を前記第一部分に伝達するとともに、前記第一部分は、伝達された照合用生体情報を前記情報取得部が取得した認証用生体情報と照合する照合部を有し、前記利用部は前記照合部による照合結果を生体認証結果として利用することを特徴とする請求項13記載の生体認証システム
【請求項16】
前記第二部分は前記照合用生体情報を取得する情報取得部を有するとともに、前記管理部の管理下において前記照合用生体情報の取得および前記保持部への保持を行うことを特徴とする請求項1から8のいずれかに記載の生体認証システム。
【請求項17】
照合用生体情報の登録を管理する管理部と、生体認証結果を利用する利用部と、生体認証を求める際に照合用生体情報に関連する情報の伝達を受ける伝達部とを有することを特徴とする生体認証システム。
【請求項18】
前記管理部が管理して登録した照合用生体情報を保持しないことを特徴とする請求項17記載の生体認証システム。
【請求項19】
複数の人間が出入りする共通の入口のロック制御システムとして構成され、前記利用部は生体認証結果に応じて前記共通の入口の開錠を行うことを特徴とする請求項17又は18記載の生体認証システム。
【請求項20】
前記照合用生体情報を取得する情報取得部を有するとともに、前記情報取得部によって取得された照合用生体情報を伝達する伝達部を有することを特徴とする請求項17から19のいずれかに記載の生体認証システム。
【請求項21】
前記管理部は前記情報取得部によって取得された照合用生体情報が前記保持部に保持されたあと、これを消去することを特徴とする請求項17記載の生体認証システム。
【請求項22】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得も可能であることを特徴とする請求項21記載の生体認証システム。
【請求項23】
前記情報取得部が取得した認証用生体情報を伝達するとともに、前記利用部は、これに応答して伝達された照合用生体情報に関連する情報を生体認証結果として利用することを特徴とする請求項22記載の生体認証システム
【請求項24】
生体認証を求める際に伝達される照合用生体情報を前記情報取得部が取得した認証用生体情報と照合する照合部を有し、前記利用部は前記照合部による照合結果を生体認証結果として利用することを特徴とする請求項22記載の生体認証システム
【請求項25】
前記情報取得部が前記利用部とは別に交換可能となっているとともに、前記情報取得部の動作確認部を有することを特徴とする請求項22記載の生体認証システム
【請求項26】
照合用生体情報を保持する保持部と、生体認証を求める際に前記保持部が保持する照合用生体情報に関連する情報を伝達する伝達部とを有することを特徴とする生体認証システム。
【請求項27】
前記保持部に保持される照合用生体情報が複数の人間が出入りする共通の入口の開錠に利用されるものであるとともに、前記共通の入口を出入りする特定の人間によって管理されることを特徴とする請求項26記載の生体認証システム。
【請求項28】
前記共通の入口を通る個人によって保持されることを特徴とする請求項27記載の生体認証システム。
【請求項29】
前記保持部に保持される照合用生体情報が銀行の個人認証システムに利用されるものであるとともに、銀行取引者個人によって管理されることを特徴とする請求項26記載の生体認証システム。
【請求項30】
携帯電話として構成されることを特徴とする請求項26記載の生体認証システム。
【請求項31】
認証データの伝達を受ける受領部と、前記受領部が受領した認証用生体情報を前記保持部の照合用生体情報と照合する照合部を有し、前記伝達部は、前記照合部による照合結果を照合用生体情報に関連する情報として伝達することを特徴とする請求項26記載の生体認証システム
【請求項32】
生体認証を求める際に照合用生体情報の伝達要求を検知する検知部を有し、前記伝達部は前記検知部の検知に基づいて前記保持部が保持する照合用生体情報を照合用生体情報に関する情報として伝達することを特徴とする請求項26記載の生体認証システム
【請求項33】
生体認証結果を利用する利用部と、前記利用部とは別に交換可能に設けられ生体情報を取得する情報取得部と、前記情報取得部が正常に動作するかどうか確認する確認部とを有することを特徴とする生体認証システム。
【請求項34】
前記情報取得部は、生体認証を求める際の認証用生体情報の取得を行うとともに、認証用生体情報と照合するための照合用生体情報の取得を行うことを特徴とする請求項33記載の生体認証システム。
【請求項35】
前記確認部は前記情報取得部からの情報に基づいて前記情報取得部が正常に動作するかどうかを確認することを特徴とする請求項33または34記載の生体認証システム。
【請求項36】
前記情報取得部はそれぞれ別に交換可能なセンサー部および前記センサー部を保護する保護部を有することを特徴とする請求項33から35のいずれかに記載の生体認証システム。
【請求項37】
前記確認部は、前記保護部の状態を前記センサー部とは独立に確認することを特徴とする請求項36記載の生体認証システム。
【請求項38】
前記確認部は、情報取得部交換の際にその動作調整を行う調整部を有することを特徴とする請求項33から37記載の生体認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【公開番号】特開2012−162977(P2012−162977A)
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願番号】特願2012−68521(P2012−68521)
【出願日】平成24年3月25日(2012.3.25)
【分割の表示】特願2006−26393(P2006−26393)の分割
【原出願日】平成18年2月2日(2006.2.2)
【出願人】(508278745)NL技研株式会社 (21)
【出願人】(706000296)
【Fターム(参考)】
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願日】平成24年3月25日(2012.3.25)
【分割の表示】特願2006−26393(P2006−26393)の分割
【原出願日】平成18年2月2日(2006.2.2)
【出願人】(508278745)NL技研株式会社 (21)
【出願人】(706000296)
【Fターム(参考)】
[ Back to top ]